雷竞技官网

新型Mac恶意软件攻击美国国防行业-流量监控软件
[时间:2017-02-09]  [文章来源:上海百络]  [责任编辑:admin]

        GSA的(de)技术(shu)改革服(fu)务部在(zai)开源GitHub项目上发布草案(an)征集,期望潜在(zai)的(de)资深厂(chang)商帮(bang)助GSA建(jian)立自己的(de)漏洞悬赏计划。TTS要求(qiu)有关各(ge)方1月30日之前(qian)提供反馈(kui)意(yi)见。漏(lou)洞悬(xuan)赏的概念非常(chang)简单(dan):雇用或(huo)未(wei)发现(xian)漏(lou)洞的白帽子黑客给予奖(jiang)励。这是众包网络安(an)全(quan)概念,只是方式更(geng)正式、更(geng)可信(xin)。
      漏洞悬赏(shang)计(ji)划(hua)—要求安全(quan)研究人员寻找(zhao)组织机(ji)构网(wang)络或系统内部(bu)的漏洞,机(ji)构给予(yu)相(xiang)应的奖励。自美国(guo)国(guo)防部(bu)和美国(guo)陆(lu)军取得初步成功后,该计(ji)划(hua)在联邦政府机(ji)构中日益兴起。草案征集的(de)执行工作说(shuo)明指出,“作为关注安全的(de)重要(yao)组成部分(fen),TTS需要采购(gou)预先存在的(de)商业(ye)漏洞(dong)悬(xuan)赏Saas(软(ruan)件即服务)平台服务,从而启动(dong)并(bing)管理TTS漏洞(dong)悬(xuan)赏计划”GSA—尤其18F数(shu)字服(fu)(fu)务团(tuan)队(dui),相当长时(shi)间(jian)以来,一直有建立漏洞悬赏(shang)计划的想(xiang)法。18F团(tuan)队(dui)早(zao)在2016年早(zao)些时(shi)候就开始研究漏洞悬赏(shang)试点,以此为其它机(ji)构提(ti)供服(fu)(fu)务,但具(ju)体项(xiang)目似乎仍处于初期规划阶(jie)段。

      TTS将(jiang)借助承包商的(de)帮助,邀请(qing)研(yan)(yan)究人(ren)员寻找TTS Web应用程(cheng)序的(de)漏洞。承包商还需对报(bao)告(gao)的(de)漏洞进行(xing)分类(lei),为发现有效(xiao)漏洞的(de)研(yan)(yan)究人(ren)员支付奖金,并解释驳(bo)回(hui)的(de)原因。GSA在GitHub上提供建议价(jia)格(ge):低(di)(di)危(wei)漏(lou)洞(dong)300美(mei)元(yuan)(yuan),中危(wei)漏(lou)洞(dong)1000美(mei)元(yuan)(yuan),高(gao)危(wei)漏(lou)洞(dong)5000美(mei)元(yuan)(yuan)。合(he)(he)同(tong)(tong)为(wei)固定价(jia)格(ge)合(he)(he)同(tong)(tong),基础期限为(wei)3个(ge)(ge)月,预计每(mei)个(ge)(ge)月的奖金支出:6个(ge)(ge)有(you)效(xiao)低(di)(di)危(wei)漏(lou)洞(dong)、1个(ge)(ge)有(you)效(xiao)中危(wei)漏(lou)洞(dong)和1个(ge)(ge)高(gao)效(xiao)高(gao)危(wei)漏(lou)洞(dong)。GSA表示,合(he)(he)同(tong)(tong)另(ling)外还有(you)2个(ge)(ge)为(wei)期3个(ge)(ge)月的选(xuan)择期。另(ling)外,感兴趣的承包商向GSA提供使用其悬赏平台的报价(jia)。

      TTS基本上(shang)会指定(ding)较大的资(zi)深(shen)漏洞悬赏厂商,这样的厂商已经(jing)建立了(le)安全研究人员(yuan)库,有利(li)于发现更(geng)多(duo)的漏洞。草案执行工作说明指出(chu),考(kao)虑到漏(lou)洞(dong)悬赏(shang)计划的(de)特性,提供(gong)漏(lou)洞(dong)悬赏(shang)SaaS平(ping)台(Bug Bounty SaaS Platform,能实(shi)现(xian)TTS的(de)目标(biao),并为政府带来最大(da)价值)的(de)承包商必(bi)须具有良好(hao)的(de)信誉。漏(lou)洞(dong)悬赏(shang)SaaS平(ping)台的(de)提供(gong)商越(yue)知名,在(zai)业(ye)界(jie)拥有的(de)安(an)全研究(jiu)人(ren)才就越(yue)多。漏(lou)洞(dong)悬赏(shang)SaaS平(ping)台提供(gong)商网(wang)络的(de)安(an)全研究(jiu)人(ren)员群体(ti)越(yue)大(da),在(zai)TTS Web应用程序上发现(xian)漏(lou)洞(dong)和技术问题的(de)机率(lv)就越(yue)大(da)。GSA表示,已经开始审批行业内(nei)三大知名承(cheng)包商。大量漏(lou)洞悬(xuan)赏平台(tai)公司(si)近年不(bu)断发(fa)展壮大,例如HackerOne(运作(zuo)国防部和美国陆军(jun)的项目(mu))、Synack和Bugcrowd,但GSA未(wei)表明联(lian)系了哪家公司(si)。HackerOne是唯一一家在(zai)该GitHub项目(mu)上公开提交问题的公司。HackerOne的首席技术官Alex Rice 指出,TTS正在(zai)展现(xian)最佳(jia)做法,其它联邦政府(fu)的机(ji)构(gou)可能轻松如法炮(pao)制,从发布漏洞披露政策开始。Rice表示,“一旦完成了其中(zhong)一个漏(lou)洞(dong)披露计(ji)划,漏(lou)洞(dong)悬(xuan)赏项目便(bian)能以(yi)相(xiang)对简易的程序进行。TTS本质上是在构建蓝(lan)图,供(gong)其他人实(shi)施这(zhei)些项目提供(gong)向导。”TTS在GitHub上公开(kai)采购(gou),并给(ji)予最(zui)大(da)程度的灵(ling)活性(xing),这是(shi)在构建(jian)人性(xing)化模式,供合(he)作(zuo)机构获(huo)取、调(diao)整(zheng)并实施计划,以(yi)满(man)足自身(shen)需(xu)求。TTS是先驱,通过联(lian)邦(bang)承(cheng)包的(de)方式开辟新天地。18F和国防(fang)部(bu)的(de)经(jing)验(yan)教训(xun)使得这(zhei)些项目可为每个政府机(ji)构所(suo)用(yong)。因此,我认为联(lian)邦(bang)政府其它机(ji)构很快会(hui)加(jia)以(yi)重复利(li)用(yong),并会(hui)利(li)用(yong)现有的(de)好处。相比(bi)更(geng)传统的(de)方法,政府将进(jin)一步(bu)强化(hua)众包安全的(de)成本(ben)节约(yue)方式。”就像(xiang)18F和TTS开发的(de)其它(ta)许(xu)多项(xiang)目一样,该漏洞悬赏计(ji)划最开始(shi)也(ye)许(xu)只是(shi)单从机(ji)构利益出发,但其真正的(de)价值是(shi)作为(wei)其它(ta)美国政府(fu)机(ji)构的(de)PoC。真正的好处是,它会带来可重复的过程,几乎任何机构都能通过承包的方式实施这样的计划。流量监控软件经历了该过程,没有必要重复执行这项工作。”



    [关闭本页]
  关键词:  流量监控软件,上网行为管理
雷竞技官网 |  局域网监控软件 |  局域网管理软件 |  流量监控软件 |  百络网警用户论坛
Copyright © 2013-2016 britney-jp.net 上海百络信息技术有限公司 版权所有 E-MAIL:netbai999@126.com
监控软件-征信网认证 监控软件-网警网络110 沪ICP备14015905号-1
监控软件-公安部检测报告 监控软件-360认证 监控软件-瑞星认证 监控软件-金山云安全中心网站安全检测 监控软件-江民安全认证 监控软件-卡巴斯基检测通过 监控软件-小红伞安全认证 雷竞技官网 雷竞技官网 雷竞技官网 雷竞技官网 雷竞技官网 雷竞技官网 雷竞技官网 雷竞技官网 雷竞技官网 雷竞技官网