注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 8162|回复: 0

[网络安全] 专家如何权衡黑客行为如何挽救您的公司

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
47860
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   708 小时
   最后登录
   2022-8-23
发表于 2021-3-29 20:33:25 | 显示全部楼层 |阅读模式
黑客行为可以挽救您的公司。寻求黑客的帮助。你不能一个人做。以仁慈的态度对待黑客,并与他们建立关系。不要在Twitter上第一次发现漏洞。您如何保护自己免受早晨起床,穿上人字拖鞋(或军装)的人的攻击,却无所事事,只想着如何攻击您?这些主题是9月18日在华盛顿特区召开的大西洋理事会协调漏洞披露(CVD)小组的主题

会议的主题是:黑客驱动的安全性:关于协调漏洞披露的声音,并启动了他们的惊人漫画《黑客技术如何拯救您的公司》的发布。。CVD是组织从黑客那里接收有关潜在漏洞的信息,协调信息在相关人员之间的共享以及漏洞解决过程的过程。该小组由广泛的CVD专家组成:司法部的伦纳德·贝利(Leonard Bailey),内政部能源和商业委员会的杰西卡·威尔克森(Jessica Wilkerson),誓言首席信息安全官克里斯·尼姆斯(Chris Nims),以及卡内基CERT部门的Bobbie Stempfley梅隆 大西洋理事会网络安全创新委员会的博·伍兹先生主持会议。国家电信和信息管理局的Evelyn Remaley作了主题演讲。

以下是小组讨论的重点和要点。您可以在此处观看完整的会议。

前5个外卖菜
联邦政府在CVD方面取得了重大进展。联邦政府牵头负责漏洞披露,向私营部门和大公司展示如何做到这一点。Remaley女士说,VDP现在只是“有一点争议”,“如果问题变得无聊,这在DC中是进步的迹象。” 巨变是联邦政府,私营企业和安全研究人员之间多年来相互合作的结果。成功的举措包括采用NIST网络安全框架和免除版权法,以保护安全研究人员。知名品牌的重大隐私数据泄露事件突显了网络安全是一项重大风险。Wilkerson女士指出,在WannaCry之后,人们开始在山上积极讨论CVD。如果您想一字不漏地说明网络安全和CVD为何如此重要,

CVD不仅是IT问题。CVD随处可见,现在已成为全国性和全球性的问题。意识已经超越了IT,已经进入日常生活,联邦立法和董事会会议室。原因之一是网络安全漏洞具有物理影响,并影响到许多行业。特别是在医疗保健领域,当问威尔克森女士如何防范网络安全风险时,她的第一个问题是:“您是否拥有CVD计划……因为如果您不知道如何接受免费帮助,您可以“别无他法。” 而且,绝对需要告知董事会重大风险,如果您是一家上市公司,则必须披露实质内容。

网络安全是一个“邪恶的问题”。网络安全是一个不断发展的问题,因为安全从未实现。根据Nims先生的说法,您不必打勾就可以完成。Stempfley女士还说,CVD可能是一个“邪恶的问题”,发现和解决漏洞是一个复杂的,永无止境的问题,顽强地抵制了清晰的解决方案。您不确定成功的模样,不确定成功的杠杆手段,也不确定如何激发安全研究人员的积极性。而当您完成时,您不确定自己已经完成了。在过去的十年中已经取得了很大的进步,但是在两年之内,她认为我们将在讨论该领域的下一组问题,因为规模,步伐和参与者都已经改变。

但是,CVD取得了重大胜利。胜利最终是要降低风险,并建立一种安全文化。在全体会议上讨论安全性,以确保每个人都了解其重要性。“每次我们发现黑客漏洞,修复并关闭它时,风险就降低了一个。当您进行扩展时,安全性会提高,风险会下降。感觉就像是成功。”尼姆斯先生说。他认为,Oath从研究人员那里收到的每份报告最终都得到解决,这是一次胜利。Bailey先生认为,2016年入侵五角大楼以及所有利益相关方与国防部的合作都是巨大的胜利。它把NIST,FTC,NTIA和其他机构长达十年的工作推到了最前沿,并向每个人表明,没有一个组织如此强大以至于不需要协调一致的漏洞披露。

关于这些安全研究人员:从建立信任的位置开始。假设研究人员正在尝试提供帮助,并进行过度交流以避免意外。即使您有一支专职的红色团队,研究人员也可以提供帮助,因为外部安全研究人员可以帮助您解决无法覆盖的领域。

Bailey先生补充说,有时他会听到美国检察官办公室的情况,即一家公司感觉自己受到了勒索,而实际上,这是一种误解。座谈会上没有人希望第一次在Twitter上听到此漏洞,因此理想的方法是建立一个如何与外部安全研究人员合作和进行交流的过程。

Nims先生承认CVD的“成熟度曲线”。早期,一家公司可能会从“安全名人堂”入手,这些安全研究人员会发现可以改善其安全性和状态的错误,然后最终进入正式的错误赏金计划。许多安全研究人员受行动和解决方案的激励,而不是金钱利益。

CVD上一些值得注意的“啊哈”时刻
您的网络已不再是您的网络了。“这是我的东西”的说法是不正确的。因为一切都是相互联系的,即您与供应商,供应商和客户之间都是相互联系的,所以几乎不可能解决所有问题。因此,寻求并获取您可以获得的所有帮助。

仅仅进行测试是不够的。渗透测试是足够的,这是一个神话。一个内部的红色团队,甚至是一个很棒的团队,仍然需要安全研究人员。

漏洞并不总是可以清楚地识别,区分和立即修复。错误没有在其上贴有“错误”标签!

最后的笔记
如今,政府和私营部门的每个人都同意:漏洞披露完全有道理。如果您无法利用它,则说明您的网络安全实践存在很大问题。实施漏洞披露是短期和长期的最佳实践,并且应该是对任何现有网络安全团队的补充。

发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则


快速回复 返回顶部 返回列表