注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 2290|回复: 0

[网络安全] MORRISON&FOERSTER的DAVID NEWMAN:公司法律顾问应如何采用黑客驱动的安全性

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
47826
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   705 小时
   最后登录
   2021-4-6
发表于 2021-4-6 22:40:09 | 显示全部楼层 |阅读模式
Morrison&Foerster律师事务所一直在就重新定义实践和行业的问题上提供前沿的法律咨询。它成立于1883年,目前拥有约1000名律师,从北京到柏林,旧金山和新加坡设有16个办事处。

该公司更名为MoFo,以在数据安全,隐私,全球风险和危机管理,知识产权以及法规问题(与网络安全交织在一起的所有领域)领域的领导者而闻名。今年早些时候,MoFo发布了由David Newman撰写的标题为“ Bug-Bounty Programs:一个小心使用的有价值工具”的警报,其中说Bug Bounty计划“受到青睐,因为它们代表了一种具有成本效益的'力乘数'。 “可以增加现有的工作量。” 但是,它也指出:“公司在设计和实施这些程序时必须谨慎,以避免法律和声誉风险。”

David是MoFo国家安全和全球风险与危机管理业务的法律顾问,他在代表客户处理国家安全,危机管理和政府法规问题方面拥有丰富的经验。在加入MoFo之前,戴维曾在白宫担任过多个重要职位,曾担任巴拉克·奥巴马(Barack Obama)总统和国家安全委员会工作人员的特别助理和副法律顾问。

我们向David询问了一些有关他为客户提供的基于黑客的安全性工作的问题,以及随着越来越多的组织启动漏洞披露政策(VDP)和漏洞赏金计划而在该领域中看到的问题。这就是他不得不说的。

在您最近的客户咨询中,“漏洞赏金计划:谨慎使用的宝贵工具”中,您涵盖了与采用漏洞赏金计划有关的广泛项目。根据您的经验,当建议或讨论漏洞赏金计划时,您如何看待公司的回应?

错误赏金计划越来越标准化,公司不再将其视为外来或陌生的东西。这么多成熟的参与者(包括科技巨头和美国国防部)都接受了它们,如果做得对,它们可以成为加强公司现有网络安全工作并避免成本更高的问题的一种经济有效的方法。路。公司还应该意识到,无论是否有正式的计划,外部研究人员都可以与他们联系,以了解是否存在漏洞,因此,建立计划是一种为积极进行互动提供结构和过程的方法。

通常很难让公司顾问加入赏金计划吗?他们最初/典型的担忧是什么?

内部律师认识到这些程序越来越成为标准票价并增加了价值。但是,鉴于他们的角色,他们还看到了无法正确执行设计和执行的风险。特别是,他们对确保这些程序符合适用的数据隐私制度以及以最小化法律和声誉风险的方式支付赏金的挑战很敏感,并且他们欢迎就如何浏览这些程序的正确方法提供外部建议。注意事项。

用美国前国防部长阿什·卡特(Ash Carter)的话来说,公司应如何采取简单的第一步,即为外部研究社区启动漏洞披露政策,从而为一个好的公民提供一个“看到,说出一些话”的法律途径?

早期的关键步骤是将组织中所有相关的利益相关者(GC的办公室,CISO团队以及业务方面的其他利益相关者)召集在一起,讨论计划中应包括哪些网络和数据组件,哪些资源是可用于支持它,以及它如何适合组织的整体安全性工作。起草计划条款的工作对于确保每个人都在同一页面上并且确保支持计划和做出决策的明确责任是非常宝贵的。

您认为在过去一年左右的时间里,VDP和赏金计划的法律观点有所变化吗?如果是这样,怎么办?

公司已经意识到,在设计这些程序的方式以及在支付大笔款项或应对边际案例之前寻求建议的价值方面,严格和周到的重要性。通常,这种意识来自特定事件,在该事件中,与公司联系以某种方式突显了漏洞,从而突显了他们当前计划中的模棱两可,并使他们希望他们拥有一套更加明确的政策和程序。  

您如何看待明年的发展?

我希望公司在运作程序方面将继续变得更加复杂,其中包括在内部建立更正式的流程以及更清晰的面向公众的条款。来年的另一大重点将是在适用的美国和海外隐私制度(包括GDPR)的背景下分析这些程序。

在“ Bug-Bounty程序:要小心使用的重要工具”警报中,您突出了需要注意的区域,供公司在考虑使用Bounty计划时要特别注意。您有什么想特别强调的吗?

该职位的症结在于,通过对计划涵盖的系统,计划的运作方式,负责的决策者以及在何种情况下给予赏金的事先考虑周全和明确的态度,公司才能获得良好的服务。这需要工作,但是当在特定事件的背景下(通常是在非常紧迫的时间框架内)做出决策时,而不是事先在正确的级别进行认真思考和讨论的情况下,挑战会大大放大。

该警报建议人们查看许多政府组织提供的指导。您认为政府机构指南和最新采用的泛滥是否标志着什么?

政府指导的泛滥加强了监管者对这些计划的广泛接受。政府机构认为这些程序可以发挥作用并可以增加价值,并且正在就如何正确执行这些方法提供实用指导。尽管这些指导文件通常没有法律效力,但公司可以从中受益,因为它们通常会突出显示特定于部门的问题,并且因为能够在以后解释所做选择是根据公共指导来做出的,这是有价值的。

切换到VDP和赏金计划的另一端,当黑客偶然发现漏洞或参与赏金计划时,他们应该考虑些什么?

从公司的角度来看事情,并考虑公司将如何看待任何方法,这一点很重要。除其他外,公司必须警惕任何有关其数据被不当泄露或滥用并有义务保护其信息的建议。  

最后一个对您来说至关重要的问题:您最喜欢的黑客电影是什么?

这些天来有很多不错的选择,但是30年前,我第一次和爸爸一起看了WarGames,但仍然必须将它排在第一位。它的年龄比其他许多人都要好。

发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则


快速回复 返回顶部 返回列表