行业新闻与博客

与使用漏洞赏金计划的白帽研究人员或在进行反向工程的民族国家工作的白帽研究人员相比，出售漏洞的黑帽可以赚钱。 

在谈到及其成立会议上周在伦敦，研究奥利弗·罗奇福德的主任说，让人们做的漏洞研究是昂贵的，并且所有的白色，黑色和灰色市场是共生的，因为尽管是合法与非法之间的区别，不同的因素“从发现漏洞开始就相互镜像”。

罗奇福德说，这“表明了专业网络犯罪的发展方式”，指出了犯罪和法律方面的主要区别在于道德这一事实。Rochford 在一张幻灯片中指出，攻击和防御方面的漏洞发现，漏洞利用研究和开发都是相同的，而差异在于“操作化”方面，其中攻击方面是间谍，破坏和欺诈，而防御方面是在威胁情报和补偿控制适应方面。

罗奇福德在他的研究中表明，在某些情况下，作为白帽漏洞管理者，您可以获得的收入要比黑帽多，而戴着黑帽的工作能赚到大约 75,000 美元。罗奇福德说，这“是可以实现的，而且很有吸引力”，尽管合法地这样做更有利可图，但如果不是这样，那是“一种谋生手段”。

Rochford 说，利用漏洞的价值，您可以在黑暗市场上赚取大约一百万美元的 Apache 或 Linux 漏洞，而漏洞利用经纪人（灰色市场）则需要支付约 500,000 美元。Android 上的 WhatsApp 漏洞可在黑市和黑市上赚取一百万美元。供应商漏洞赏金可以带来更高利润的唯一漏洞是 iOS 上的 Safari，而普通的 iOS 漏洞可以通过赏金获得 100 万美元，在灰色市场上可以赢得 200 万美元。

Rochford 在谈到 Bromium 的“利润网络”研究时说，网络犯罪所产生的收入估计为 1.5 万亿美元，而 Gartner 称，2019年网络安全市场的总规模为 1,360 亿美元。

罗奇福德还表示，攻击者在防御者甚至未评估漏洞之前就有 7 天的机会利用这些漏洞，因此这就是“公司需要强化其攻击面并提高攻击水平的原因。”减少市场供应和增加生产成本也增加了专有零天的价值，从而再次刺激了投资。

拉法基•霍尔西姆（Lafarge Holcim）欧洲 IT 服务的 IT 安全和内部控制负责人 Jose Maria Labernia 在活动中发表讲话时说，他确实相信零时差攻击“很重要，因为它们可以危害系统。”

他说，没有多少公司能够进行零日补丁，因为所需的补丁速度和级别“不是零日问题，而是要修补的漏洞数量。” Infosecurity 询问公司是否愿意他说，通过严重性级别进行修补，以前是为了修补 Microsoft 和 Unix，然后才出现 Flash，现在“组件和 Web 应用程序太多了，这真的很难应对组织面临的大量风险。 。”

Labernia 表示，可以应用敏捷方法，并且过程的一部分取决于技术是否“旧有，不能修补”，因此，一种选择是完全隔离并控制每次流量的进入和流出，“但这对于安全团队和组织推动我们在转型中成长是一个挑战。”

非常感谢您对亚洲注册的支持与信任！

禁止转载