微软(MSFT)将为软件研究人员发现安全威胁支付巨额奖金。在某些情况下,甚至高达26000美元。微软在一篇博客文章中表示,这家软件巨头将为“对客户隐私和安全有最大潜在影响”的提交支付奖金。
股票行情|微软为漏洞悬赏付最高金额
拉斯维加斯网络安全服务公司AlertBoot的首席执行官蒂姆·马利伊尔(Tim Maliyil)在接受《TheStreet》采访时说,在信息安全行业,发放奖励是很常见的,因为软件制造商的质量保证团队不一定能抓住一切。
“臭虫赏金计划激励组织外的人才发现问题,”他说。“从长远来看,结果是一款更好、更安全的产品。”
为什么需要奖金
在应对网络钓鱼攻击和实施云安全最佳实践之间,安全团队负担过重。
加州圣克拉拉云本地网络安全服务提供商Valtix的首席安全研究员戴维斯·麦卡锡(Davis McCarthy)告诉TheStreet,许多黑客都是为了捕捉漏洞。
“网络犯罪是有利可图的,”他说你宁愿奖励关上你前门的人,还是事后发现他们抢劫了你?”
他说,黑客已经成为一个全面发展的行业,数据是新的商品,无论是在华尔街还是在地下。
麦卡锡说:“网络犯罪分子将密码、远程访问公司网络、漏洞利用和僵尸网络货币化。”。
位于旧金山的数字风险保护解决方案提供商Digital Shadows的首席信息安全官里克·霍兰德(Rick Holland)告诉TheStreet,漏洞赏金计划可以成为有效的网络安全工具,提供良好的“价廉物美”。
“这些项目通过补充内部努力,扩展了防御者的脆弱性管理战略,”他说。“公司可以将漏洞披露的分类和管理外包给第三方。”
总部位于加利福尼亚州圣何塞的数字IT和安全运营公司NetRich的首席威胁猎手约翰·班贝内克(John Bambenek)告诉TheStreet,漏洞赏金计划代表了漏洞研究人员和软件公司之间的缓和。
过去,这些漏洞有时会被公开披露,公司威胁要起诉研究人员。
他说,这些奖金对安全研究人员和公司来说都是一个解决方案。
班贝内克说:“这让研究人员可以做他们喜欢做的事情,并为他们的时间赚钱。”。“这不会像间谍机构支付的那么多,但你可以保留你的灵魂。”
虽然漏洞奖励计划并不完美,但它们确实给了研究人员一些寻找漏洞的动力,“知道他们的努力可以得到回报,而不仅仅是吹牛的权利,”位于特拉维夫的企业网络风险补救SaaS提供商Vulcan Cyber的高级技术工程师迈克·帕金(Mike Parkin)告诉TheStreet。
谁在付钱?
马利伊尔说,一些黑客仍然是白帽黑客,因为他们发现了问题,但不利用这些问题,也不希望得到赔偿。
他说,黑帽黑客将利用安全问题,敲诈和/或窃取带有该漏洞的产品用户。
马利伊尔说,另一类是红帽黑客,他们更接近于白帽黑客,但有一种私刑倾向。
他说:“他们还将自己动手阻止黑帽黑客,比如著名的黑客组织匿名组织,削弱俄罗斯攻击他人的能力。”。“他们正在从俄罗斯服务器上窃取任何可以窃取的情报。想象一下蝙蝠侠是个电脑呆子。”
马利伊尔说,黑客的行为可能“不稳定”。
他说:“是的,我可能是个坏人,但如果我向软件制造商报告漏洞或漏洞,那我就表现得像个白帽黑客。”。
归根结底,软件制造商只有在发现提供给他们的东西有价值时,才会向报告缺陷的人付款。“黑客没有破坏产品,”马利尔说。“他们只发现了该产品的一个可利用问题,这是制造商在一天结束时的过错。”班贝内克说,一些公司可能会自己付钱给黑客,但最终结果仍然是有益的。更多股票资讯,关注财经365!