£4,000 Bug Bounty可以从唱片ICO精细节省BA
由于航空公司通过负责任的黑客或Bug赏金计划确定其系统中的漏洞,因此,信息专员办公室(ICO)向英国航空公司提供了183.39亿英镑的罚款罚款183.39米。到安全测试公司Hackerone。
Hackerone看着近年来最大的英国最大的数据泄露了四个 - BA,Carphone仓库,票务管理员和Talktalk - 得出结论。它发现,根据目前的Bug赏金计划的市场率,这四项受害者可能避免罚款总计265.4米,只需在赏金中发出9,600英镑。
像BA一样,通过第三方JavaScript漏洞被攻击的TicketMaster,可能已经在4,000英镑到8,000英镑而不是500万英镑之间支付。Carphone Warehouse的过时的WordPress接口可能是81英镑的修复,而不是400,000英镑,它最终成本核算。Talktalk将受害者降低到SQL注入,可以在1,600英镑和8,000英镑之间支付,但最终以7700万英镑的价格结束。
“攻击表面一直在增长,只是试图避免在网络罪犯领先的一项重大挑战,”Hackerone的安全工程师普拉什索斯·斯莫耶亚·普拉什“最安全的组织意识到有很多方法可以识别它们最脆弱的地方。
“通过运行Bug Bounty程序并要求黑客寻找他们的弱点,我们的客户在可能发生违规之前安全地解决了超过120,000多个漏洞。这项研究是对赏金价格的粗略估计,基于我们在同一行业的现有计划,但它突出显示公司可以节省数百万美元,并在识别和修补其漏洞时积极地降低风险。“
Bug Bounty程序旨在激励黑客寻找漏洞,并在网络犯罪分子利用之前向组织报告。
他们是网络安全威胁缓解景观的一部分,并且有几个原因对他们的普及,包括获得更广泛,外部人才池和更多的佩戴思想,这有助于企业发现其内部安全团队错过的问题。
Hackerone最近的黑客供电的安全报告显示,当启动新的BUG赏金计划时,在超过四分之三的案件中24小时内报告第一个有效漏洞。这些方案也可以为黑客社区代表大笔资金。2019年早些时候,英国的第一个道德黑客从Bug Bounty计划制作超过100万美元被命名为Mark Litchfield,这是一个基于美国但苏格兰出生的黑客,他们最初失败了他的计算A级。
然而,正如近期计算机每周采访中的阿特拉斯人Ciso Adrian Ludqiig所指出的那样,重要的是不要将Bug赏金计划视为银弹,而是作为凝聚力战略的元素。
严重实现的BUG赏金计划可能导致开发团队因通知而不堪重负,使其更有可能错过至关重要的脆弱性。