有图无图
钱柜官方手机版网站 >实事 >HackerOne首席执行官表示,合作将解决安全问题 >

HackerOne首席执行官表示,合作将解决安全问题

HackerOne首席执行官表示,合作将解决安全问题

Cloud Security
HackerOne的Marten Mickos表示,保护云是每个人的责任。 照片:Blue Coat照片/ Flickr

Bug赏金平台HackerOne的首席执行官Marten Mickos表示,Equifax的破坏可能是一种伪装的祝福,不仅适用于那些严重依赖软件进行日常运营的组织,也适用于那些信任这类公司数据的消费者。

Mickos在旧金山举行的结构安全活动上发表讲话称,信用报告公司的黑客行为可能导致超过1.43亿美国消费者被盗的个人信息应该成为“任何一个漏洞”公司的警钟“可能会损害您的整个业务。

“这是我的生活哲学,你永远不会失去,”Mickos说。“你赢了或你的学习。当你看到Equifax数据泄露中发生的所有可怕的事情,你意识到无辜的人遭受了,这是一个结果漏洞,必须有一些更大的好处。“

众所周知,Equifax漏洞是由一个名为Apache Struts的Web应用程序中的已知漏洞造成的,该漏洞在发生漏洞之前已有几个月可用。 Mickos表示,对于一家主要基于其收集的数据而不采取适当措施来保护数据的公司来说,这是不可接受的。

“无论问题多么困难,一家坐拥1.43亿信用卡号码的公司绝对没有理由不进行双重检查,”Mickos说,“如果选择这样的商业模式,你会选择提高安全标准你必须这样做。“

然而,HackerOne首席执行官确实注意到像Equifax这样的组织很难,因为他们正在运行遗留系统并使用几十个(如果不是数百个)不同的应用程序相互交互,并要求安全团队保持在所有这些移动部件之上几乎是不可能的。

“你建立一个网站,你正在使用的东西正在使用某些东西正在使用的东西。即使你知道链,你也必须知道每个链的确切版本号,”他说。

再加上成千上万的遗留代码可能很久以前由一个不再在公司的人编码而且你留下了一个看起来像Jenga塔的安全基础设施,如果你做出错误的举动就准备好了。

这就是信息共享的用武之地。在Mickos眼中,组织需要更好地开放外部帮助,无论是发现系统漏洞并希望披露漏洞的白帽黑客还是其他成员想要共同努力创造更安全的软件体验的行业。

Mickos指出美国司法部的漏洞提供道德披露指南,建议组织只需设置一个电子邮件地址,例如“安全@ [组织]”,任何人都可以轻松联系。

第二步实际上是利用这种形式的联系 - 这是许多组织未能做到的事情。

例如,当一个时,发现它的研究人员试图联系三星,告知他们它如何影响公司的Tizen操作系统。 那些与公司联系的努力被忽略了,Tizen被曝光,直到研究人员公开了这些信息。

不幸的是,这种做法很普遍。 Mickos表示,他的公司研究了美国排名前2000的公司,发现只有6%的公司有接收和确认收到漏洞披露的系统。

Mickos还表示,软件公司会很​​好地看看汽车行业以及汽车制造商如何设法改善汽车安全性。 他说,这些公司尽管互相竞争,但经常分享安全信息,以确保电话车尽可能安全,并为司机和乘客提供保护。 “我们还没有在软件中学到这一点,”他说。

在Mickos的估计中,分享这样的信息对于未来的安全性至关重要,如果他们想要继续运营他们拥有的方式,那么组织需要向他们敞开心扉,从消费者那里获取大量重要的个人信息。

“如果你想一天24小时为客户服务,那么你暗中说我们每天24小时负责安全,”他说。


载入中...