【Bug Bounty正在全球兴起,台湾今年也有平台提供管道】台湾公益漏洞通报平台助企业推动奖励计划
2018-09-28 09:54:01 | 来源:ithome | 投稿:小唯 | 编辑:dations

原标题:【Bug Bounty正在全球兴起,台湾今年也有平台提供管道】台湾公益漏洞通报平台助企业推动奖励计划

由社团法人台湾骇客协会,建立的公益性质的漏洞通报平台HITCON△ZeroDay,今年3月开始推动漏洞奖励计划,希望企业在面对资安漏洞问题,能有更主动的方式。

随着近年国际漏洞通报风气兴起,已有不少漏洞平台,提供了奖金计划的制度,为企业安排漏洞回报奖励计划,例如HackerOne、BugCrown等,这也成为企业可以利用的一种资源与管道。

在这些全球的漏洞平台之外,台湾也有类似的资源可以被企业应用,例如,由社团法人台湾骇客协会(HIT),建立的漏洞通报平台HITCON△ZeroDay,他们在今年3月也推动了奖励计划,就是一例。

他们不仅是,国内少数发起奖励计划的平台,且是公益性质,期望借助平台的角色,帮助企业搭起与资安专家之间的桥梁。该平台目前注册的使用者数量超过1,500人,企业帐号达300多个,报企业数量则有2,300家。

对台湾企业而言,漏洞回报奖励计划,还是一个很新的概念,今年漏洞通报平台HITCON△ZeroDay推动奖励计划,奖励方式分为奖金、感谢函与风云榜。翁浩正认为,现在一些企业至少愿意发给感谢函,其实就是一种态度上的转变。

通过聚集研究人员的平台,取得更多奖励计划曝光机会

对于普遍台湾企业而言,漏洞奖励计划还是一个很新的概念。HITCON常务理事翁浩正表示,奖励计划的主要目的,是要让资安专家感到被重视,让更多骇客帮助企业找到漏洞,持续为企业回报,甚至拿出各种自己曾经发现但未公开的漏洞来帮助企业,避免漏洞流至黑色产业。

另一方面,这其实也可彰显出企业对于资安的重视,以正面且公开透明的态度来面对资安,并增添大众对于企业的信赖。

与单纯的漏洞通报相比,实施奖励计划更具主动性,让企业能以积极的方式,来达到漏洞及早发现的目的,并期望促成正向的循环。

不过,与一般漏洞平台的奖励计划相比,HITCON△ZeroDay的角色定位有些不同。从平台经营型态来看,普遍漏洞平台是商业性质,而HITCON△ZeroDay是公益性质,初衷是为了推广给民间政府正确的观念,漏洞揭露应该是要透明,让民众了解企业对于漏洞通报是如何反应,尽快修补,期望促成正向的资安环境。

因此,HITCON△ZeroDay只扮演通报、媒合的角色,并不经手金流与裁判。在平台上,台湾企业可免费注册企业帐号,快速掌握通报者提供的漏洞,并发布自己的奖励计划。

对于企业而言,在自行推出漏洞回报奖励计划时,将可以利用这样的资源,在被动接收漏洞通报之外,将企业自行举办的奖励计划,发布在此平台上,算是多一个发布的媒介。

而它的优势在于,平台本身已经聚集了一些国内的漏洞研究人员,可以增加专案的曝光度,而不只是发布在自己的官方网站上。而且,如此主动积极的作法,通过这类平台的传递,其实也是能为企业对于资安的重视及成熟度,带来加分的效果。

但不像商业化的平台,企业可以付费而享有一套完整的流程,例如资安检测、顾问服务、奖励计划评估,以及漏洞审查等。

通过主动的奖励计划,增加企业与通报者的互信

对于企业来说,要运用此平台的奖励计划,主要有两种形式。

一种是企业自行发布公开规则与范围的奖励计划,刊登在此平台上;另一种则是企业没有奖励计划,但可以因为通报者在平台上回报的单一漏洞,为了表达感谢而提供奖励。

以第二种形式来看,这对于尚未执行奖励计划的企业而言,似乎也间接提供了一种方式,让企业在被动接受漏洞通报时,也能回应自己的奖励,帮助企业能够与资安研究人员产生良性的互动,达到鼓励的目的。甚至,企业也可通过计划,寻找合适资安人才。

奖励制度可分为3种,奖金之外,还包括感谢函与风云榜

至于奖励制度方面,企业可运用此平台的3种奖励方式,例如:奖金、感谢函与风云榜,来感谢对于通报者的帮助,这些都是让企业与通报者建立互信的作法。

尽管国内业者对于奖励计划的接受程度,还有待提升。目前接受奖励计划概念的企业,往往最担心的是,无法预估支付的金额,总奖金的方式会比较容易接受。

不过翁浩正表示,随着奖励计划的推动,现在有越来越多企业,至少会发给感谢函。这多少也显示了,企业对于漏洞态度有朝向开放的转变迹象。

同时,他也要企业不要小看感谢函与风云榜的作用,这对于资安人员的自身成就,也是一种价值证明的记录。

关于风云榜的机制,翁浩正也强调,这种形式是让企业在自己的官方网站上,感谢通报者给他们的资安建议,例如HITCON△ZeroDay网站自己被找到漏洞,他们就设立了专属的页面,感谢这些通报者的付出。而国际上,像是Google、微软等企业也都这么做,目的都是为了增加企业与通报者的互信,期望促成一个正向循环。

基本上,企业通过HITCON△ZeroDay平台上的功能,可以询问通报者是否要奖金,如果通报者希望匿名就可选择不要,而当通报者收到奖励后,也能通过平台来确认,在网页上就能显示该漏洞是有提供奖金的,另外,企业也能利用平台上的私聊功能,与通报者沟通漏洞与奖励方面的问题。这主要也是因为此平台不经手金流有关,仅提供相应机制来帮助企业执行奖励流程。

值得一提的是,HITCON△ZeroDay平台现在也正在开发新功能,例如,让企业可以来平台上提出邀请制的奖励计划,目前已经是Beta版。此外,现在平台上的每个漏洞通报,都将依据漏洞类别自动提供建议资讯,帮助企业快速掌握注意的内容。

企业看待漏洞观念必须开放,执行Bug△Bounty前要先尽力排除漏洞

对于漏洞回报奖励计划,企业可能担心公开让大家来找漏洞,是否会产生资安事件,或是被找到漏洞对公司商誉的影响。翁浩正强调,企业该认知的是,没有企业不会被骇,只有会不会承认。

翁浩正认为,观念上的转变很重要。例如,负面想法是被找到漏洞很不好,正面想法则是企业一定会被找到漏洞,但企业出钱感谢找到漏洞的人,让自己变得更好。

而且,企业的通报管道要顺畅,内部的反应团队也很重要,通报到企业内部的资安窗口时,要有能力评估漏洞的正确性,或是与通报者沟通。

不过,他也提醒,并不是每间企业一定要投入漏洞回报奖励计划。毕竟,执行漏洞奖励计划,就是让自己的系统开放给民间资安专家、骇客进行漏洞挖掘,并且用漏洞奖金感谢通报者。

但如果一个尚未成熟的系统,贸然加入漏洞奖励计划,这很可能导致被找到巨量漏洞,企业必须支付巨额的漏洞奖励费用。

因此,在漏洞回报奖励计划之前,企业应确认在能力范围内,尽力排除漏洞,在资安规画都已经到位的情况下,再来借助外力找出未知的问题,减少思维上的盲点。不论如何,企业对于漏洞奖励计划的概念要足够,而平台的角色,只是促进企业与研究人员沟通与激励的一种管道。

?相关报道??化被动为主动,企业开始悬赏抓漏

tags:

上一篇  下一篇

相关:

2018惠金贷最新消息:平台发布良性退出公告 [热事件]

据惠金贷最新消息显示,惠金贷宣布从昨天起终止网贷业务并良性退出,投资者的本金将分36期进行兑付。那么,惠金贷公告内容包括哪些方面呢?下面小编就带大家来简单的看看,希望能够帮助到大家。2018惠金贷最新进展 9

7 岁小孩发现 iOS 12 Screen Time 功能漏洞 | 香港 UNWIRE.HK 玩生活.乐科技

iOS 12 的“屏幕使用时间”有多种功能,例如让用户了解自己的 iPhone 和 iPad 使用习惯,花了多少时间在个别软件、游戏或功能上,同时“屏幕使用时间”也让家长监控子女,了解和控制他们使用 iOS 装置的时间。不过孩

小额网贷平台哪个靠谱 [热事件]

近几年来,随着社会的变化,现在越来越多网贷平台出现在人们的生活中,不少人在没有钱用的都想通过在网贷平台借钱的,毕竟各种各样的网贷平台都有,深受不少人的青睐。但是现在有人问小额网贷平台哪个靠谱呢?那么,

二手交易背后藏多少坑 [热事件]

随着互联网的快速发展,二手物品交易的跳蚤市场从线下转移到了线上。然而,二手交易背后藏多少坑又有谁了解呢?不少人在二手交易中都有着不愉快的经历,快速增长的网上二手交易也问题多多。二手交易 由于二手商品的“

酒店同意退订线上平台却不退费 [热事件]

外出旅行或者出差首先住的地方是很重要的,所以大家都会提前在一些手机app上先订好酒店,随着国庆节的来临,外出旅游的人肯定不少,酒店的预订量肯定也增多,按理来说预订的酒店应该是可以退订的,但是却有酒店同意退

站长推荐: