Die Bug-Bounty-Plattform HackerOne und Forscher vom MIT und aus Harvard haben untersucht, wie der Markt mit kritischen Sicherheitslücken funktioniert. Wie kann man verhindern, dass sie für viel Geld verkauft und destruktiv genutzt werden, wie kann man mehr „Responsible Disclosure“ fördern und sichern, dass man die gleichen Bugs findet wie bösartige Angreifer.
Das Ergebnis: Automatisierung kann mitunter besser helfen als mehr Experten, die sich Software anschauen, daher geht es auch darum, Werkzeuge zum AUffinden von Sicherheitslücken zu entwickeln. Die dann natürlich auch den echten Angreifern zur Verfügung stehen würde.
In the end, the tug of war between attackers and defenders will always exist. How we structure incentives toward making offense more expensive for attackers and giving more defenders and advantage is the question. There are more levers to tip the scales from one side to the other than just money, and defenders need to begin to use them.
The Wolves of Vuln Street are among us, yet we are studying the dynamics of the pack to make the shepherds of Internet defense more effective.
0 Ergänzungen
Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.