安全研究员,坐在他声称30各FireEye缺陷产品,要求保安公司人员支付漏洞报告。
对抗强调组织所面临的挑战在处理安全研究社区。
克里斯蒂安Erik赫曼森最初说,他试图与火眼修复漏洞,FireEye不理他。“我试过了18个月的火眼通过负责任的渠道,他们每次都犹豫不决,”他说,根据最近的一项方案。
挖到时间轴,赫曼森通知FireEye看来,他发现严重问题,但要求赔偿。FireEye以来没有一个正式的bug赏金计划到位,赫曼森拒绝提供进一步的细节问题,并坚称公司首先实现程序支付人员。这是一年多以前。FireEye得知的细节的一个漏洞以及其他人当赫曼森Exploit-DB和周末Pastebin发布信息。
FireEye表示,过去一年多次伸出赫曼森学习什么样的信息,但是他一直询问赔偿。赫曼森告诉社会,他不会跟FireEye,除非该公司支付他。目前的价格标签是设定在10000美元/弱点。
赏金或敲诈吗?
许多软件供应商发现自己在类似的,不稳定的情况。他们想要确保他们的软件,但“不要想要赎金举行,或在他们的产品卖给零日漏洞经纪人,“肯威斯汀说,Tripwire安全分析师。
FireEye是明显的劣势地位,因为它缺乏一个程序支付人员的漏洞报告。在过去的几年中,许多公司已经开始提供这样的项目,谷歌和Facebook一样引人注目的例子。经过多年的微软公开声明它不会支付漏洞,最终推出了各种各样的激励计划与安全研究人员合作。惠普临界点的Zero Day Initiative,等公司Bugcrowd和HackerOne连接安全研究人员更容易公司奖励。
但建立一个bug赏金程序不是一个简单的过程,它更具挑战性的大公司与遗留代码库,多个产品线,和复杂的生态系统,凯蒂Moussouris HackerOne首席策略官说。他们需要开发更安全的软件流程,如做自己的静态分析,威胁建模、起毛、渗透测试他们的代码。简而言之,组织需要采取一个安全开发生命周期或应用程序安全计划。开发一个漏洞响应程序之后。
“你必须测试自己的代码之前,你可以开始(bug赏金计划),“Moussouris说。否则,该公司最终支付“唾手可得”或自己的开发人员可能会发现问题。
Bug狩猎始于国内
一切都归结为组织的安全成熟度。定期测试会发现基本问题和展示组织修复,这样同样的错误不是介绍一遍又一遍。
团队需要知道如何进行根源分析,这样他们可以理解的范围和程度的脆弱性,以及所带来的风险和分配优先级可以修复这个问题。他们需要时间和专业知识内部能够处理来自研究人员报道,或他们将会支付基本的漏洞和重复的问题。
它也是重要bug报告的处理的透明度。也许公司的调查将比预期更长的时间,或者错误之前报道了别人(或者内部发现的)。透明度将澄清为什么公司决定报告并不是一个错误或者为什么研究者不会得到支付,因为早期的报告是一个重复的。
规模较小的公司与一个简单的产品阵容和基础设施可以跳过第一步和使用错误赏金启动他们的安全项目,但是有一个应用程序安全计划事先为大公司是必须的。“你不能跳,”Moussouris说。
设置一个bug基线
越来越多的共识是新兴公司必须提供bug赏金,如果他们想要安全的产品。
甲骨文的方案被研究人员指责称bug赏金”新男孩乐队”在8月初。“许多公司正在尖叫,晕倒,把内衣在安全研究人员发现问题在他们的代码和坚持就是这样,走在它:如果你不做错误赏金,代码不安全,”玛丽·安·戴维森在博客中写道,这已经被移除。
Moussouris指出有很多方法与安全研究人员的工作,和公众错误赏金计划,那里的研究人员提交报告,然后为他们的努力获得报酬,是一个模型。重要的细节是调整程序,研究人员提交报告时是最有用的开发人员。修复代码后,释放是昂贵的,所以要求研究人员测试代码在测试期间将更便宜和更有效的。这个模型可能吸引一些企业超过传统的bug赏金计划。
例如,微软邀请研究人员(在Moussouris表)提交报告前的最后版本的Internet Explorer是生产准备。另一种方法是不为现有的漏洞提供赏金,但要求防守技术公司可以在未来的产品中使用。微软,Moussouris,推出了蓝色的帽子奖工作与研究人员对缓解绕过基于内存的攻击。
“问(研究人员),这是一个棘手的问题,帮我解决它,”“Moussouris说。
FireEye后果
FireEye卖电器,因此面临的挑战建立赏金计划大多数软件公司没有处理:研究人员得到正确的版本的产品。这将是太贵为研究人员提供最新的设备找到bug。
FireEye说遗产的脆弱性赫曼森透露目前只有HX产品和已经被更新为当前版本。只有少数的公司知道客户仍在老产品,和所有其他客户不受影响。确保人员有正确的产品是至关重要的,但此刻,这是可持续只为云平台和软件制造商。
这并不意味着公司与硬件产品不能与安全研究员社区工作。Moussouris讨论其他模型,如邀请计划,公司特别要求顶级研究人员提供他们的专业知识而不是一个任何人都可以参与的公共项目。通过这种方式,公司高质量的财务报告问题公司认为高风险。邀请程序是一种直接资源向发现“你担心实际问题,”Moussouris说。
有很多问题这FireEye /赫曼森对峙,但周围的敲诈勒索的争议也许是最令人反感。赫曼森的愿望让FireEye补偿安全研究人员对他们的时间和技能使他成为一个英雄的研究人员希望公司做更多的不仅仅是相信他们的发现漏洞的底部通知。但是他目前的策略和评论在Twitter上提供漏洞卖给别人价格可能会使公司更愿意与安全研究人员。
信息安全依赖于公司、研究人员和客户一起工作。在某种程度上,FireEye把自己放在一个脆弱的地位,忽视了建立一个激励计划。但引人注目的恐吓战术帮助任何人。
这个故事,“敲诈勒索或公平贸易?错误的价值赏金”最初发表的信息世界 。