Kate diz Moussouris defensores de segurança deve gastar dinheiro para adquirir e construir as ferramentas do comércio de caça bug em vez de distribuir dinheiro para corpos quentes ou interminável dia zero.
O responsável pela política de chefe para bug generosidade outfit Hacker One e ex-boffin segurança Microsoft diz em novas pesquisas que os defensores precisam apanhar em Bounty hackers com ferramentas melhores e nunca terá bolsos profundos o suficiente para comprar as importantes zero dias a partir do branco e cinza hat hackers mercados.
Nem mesmo os governos , já compradores prolíficos de exploits, poderia fazer isso, diz ela.
"A criação de incentivos para ferramentas e técnicas que suportam a descoberta de vulnerabilidades é uma forma mais eficiente para os defensores para drenar o estoque delito de vulnerabilidades de dia zero", Moussouris diz em uma prévia de sua palestra na RSA San Francisco.
"Incentivando os mais olhos para olhar para bugs de segurança vai ajudar a drenar o estoque de ofensa, o que é verdade, especialmente em software menos maduro ... no entanto, se uma organização que opera a céu aberto, e focado na defesa, ofereceu seis números somas de vulnerabilidades, independentemente de se os prémios são para software maduro ou não, isso ... criar incentivos perversos, especialmente para software menos maduro.
"A chave para dar uma vantagem para a defesa não é apenas para encontrar e corrigir tantos erros quanto possível, mas especificamente para aumentar a colisões de bugs em encontrar as mesmas vulnerabilidades como os pesquisadores descobriram ofensivas e consertá-los."
Vulnerabilidade do Cyber Descoberta Correlação Modelo
Um exemplo "fantástico" de sua abordagem é a iniciativa do Google Project Zero, que é, em poucas palavras uma blitzkrieg internet bug.
A pesquisa constata que é melhor para comprar e oferecer dinheiro para o desenvolvimento da descoberta de vulnerabilidades automatizado e ferramentas de fuzzing do que investir em corpos Boffin segurança mais quentes, ou na oferta de maços de dinheiro para comprar zero day onde quer que ele surgiu.
Para este fim, o Hacker Um Internet Bug recompensa será ampliada para oferecer dinheiro para aqueles que desenvolvem ferramentas de descoberta vulnerabilidade inteligentes e úteis automáticas para ajudar os defensores pegar até caçadores de bugs qualificados. http://ift.tt/1J0co7N
Uma indústria que derrama muito dinheiro sobre bugs seria esvaziar a piscina defesa da segurança como hackers optou por bug caça às duas semanas à beira da piscina de um ano, em vez de moagem para 40 semanas e tantos em um cubículo.
Orçamentos falidas veria os mercados criminais e ofensa arrematando os erros mais caros sob Moussouris e perspectivas distópica do co.
Ela e os pesquisadores Dr. Michael Siegel, James Houghton, e Dr. Ryan Ellis de universidades MIT e de Harvard desenvolveram 'primeiro mundo' modelo da dinâmica do sistema a ser apresentado na conferência RSA próxima semana.
O grupo afirma que as melhores ferramentas são necessárias para ajudar os defensores encontrar zero day fazer seus dólares de recompensa bug esticar ainda mais no "high stakes" raça vulnerabilidade que começa quando um produto é lançado.
Em poucas palavras, é melhor investir no Security Development Lifecycle do que puramente generosidades de bugs, eles dizem. ®
Nenhum comentário:
Postar um comentário