大多数Infosec Pros将相信黑客测试的产品
调查表明,近80%的信息安全专业人员认为安全公司或产品更值得信赖。
“对数字犯罪的最大误解之一是黑客和网络罪犯的观点是同样的,”黑客动力安全平台Hackerone的安全工程师Laurie Mercer表示。
“黑客是熟练的辛苦,谁是好奇的,享受挑战,而网络罪犯使用互联网作为犯罪的平台。”
黑客在通过使用他们的创造力和智能来寻找复杂的安全缺陷,在互联网安全方面发挥着重要作用,以找到经常被传统方法错过的复杂安全缺陷。“令人鼓舞的是,看到更广泛的安全社区转向积极性的看法,”他说。
民意调查由Hackerone在伦敦伦敦伦敦的超过250名与会者参加者,也透露,大多数人将回应研究和黑客社区的报告。
但虽然63%的受访者表示,他们的组织会回应外部研究人员或黑客的漏洞报告,但只有51%的人表示他们有一个进程来接收此类报告。
然而,许多组织仍然忽略了保护他们的客户免受黑客社区的帮助保护他们的客户,其中21%的受访者表示,他们的组织不会回应,16%的受访者不确定。
“没有100%安全系统这样的东西,”Mercer说。“拥有漏洞披露策略是组织安全架构的关键部分。它不仅为外部安全研究人员和黑客提供了一种以明确和正式的方式报告安全漏洞的路线,而且还概述了内部流程,以确保解决这些报告并从未被忽视。“
美国副司法部长的罗斯·斯坦斯坦,查找和消除漏洞是网络安全的一个重要方面。
“所有公司都应考虑颁布漏洞披露政策 - 也就是说,对白帽安全研究人员报告漏洞的公共邀请,”他于2017年10月在伦敦的全球网络安全峰会上说。
“美国国防部运行了这样一个计划,在转向危机之前,在发现和解决问题方面已经非常成功,”他说。
根据安全研究员Scott Helme,需要供应商与安全社区互动,以便在推出之前对其产品进行反馈,以确保他们没有错过任何漏洞。
他每周告诉电脑:“虽然一些较大的安全供应商通过Bug Bounty计划与安全研究社区进行互动,但许多人仍然持敌意通过安全研究人员报告其产品中的漏洞。”
