IOTW：道德黑客发现了几个Apple漏洞，而支出可能达到50万美元。

道德黑客-有时被称为白帽黑客，最近参加了苹果的漏洞悬赏计划，并获得了不错的成绩。在三个月的时间里，以20岁的Sam Curry为首的五个黑客发现了55个漏洞。这些漏洞中有11个被认为是关键漏洞。\u003cbr\u003e他们的收益是多少？ $ 288,000还在增加。\n\n事实\n\n在他们越来越努力地在内部寻找漏洞之后，苹果于2016年制定了漏洞赏金计划。自此以来，该程序已向道德黑客奖励了数百万美元，这是一笔可喜的投资，相比之下，即使是单个恶意黑客的潜在成本也是如此。\u003cbr\u003e\n\n对于Curry的团队来说，进行这样的冒险是一项艰巨的任务。 Apple.com和iCloud。\u003cbr\u003e com负责25,000多台Web服务器。苹果还拥有7,000个其他唯一域名。库里和他的团队正面临挑战。\u003cbr\u003e他们发现的关键漏洞之一涉及苹果的iCloud平台，以及一个可通过电子邮件，窃取照片和其他有价值的信息传播的可蠕虫漏洞。另一个发现是通过强行强制进入Apple Distinguished Educator管理员帐户。从那里开始，进一步的内部网络渗透是可能的。\u003cbr\u003e发现后，道德黑客立即向Apple报告了这些漏洞。 Apple会在几天甚至几小时内（尤其是很快）在几天甚至几小时内修复了每个问题，这对于没有Apple健全的基础设施和资源的公司来说可能是困难的。\n\n相关：p为什么合作企业需要更好的方式来管理风险\n\n网络安全专家一致认为，苹果计算机具有广泛的安全性，但由于存在如此之大的漏洞，因此肯定存在漏洞。\u003cbr\u003e渗透测试或笔测试在内部进行管理。但是，这并不总是足够的。苹果公司的赏金计划以零工经济的形式众包业余爱好者和职业道德黑客，以填补空白。\u003cbr\u003e\n\n毕竟，与涉及赎金，公共关系灾难，停机时间延长，股票市场下跌或更糟的网络安全漏洞相比，即使最终向苹果黑客支付的最终报酬为500,000美元也是小菜一碟。\n\n得到教训\n\n俗话说：“每个公司现在都是科技公司。”如今，大多数公司都具有在线业务。\u003cbr\u003e他们使用第三方软件并创建和/或购买不可避免地包含弱点的基础结构。黑客也变得越来越老练。因此，赏金计划已成为公司网络安全工具箱中越来越常见的工具。\u003cbr\u003e\n\n错误赏金计划不仅仅适用于五巨头。实际上，漏洞赏金计划在包括创业公司在内的各种规模的企业中都很流行。新兴企业努力工作，以有限的资金将其产品推向市场。网络安全专家很昂贵。当前，网络安全专家正处于干旱之中，这种趋势正在恶化。\u003cbr\u003e通过设置漏洞赏金计划的范围并为发现的漏洞进行预算，初创企业可以快速，经济地访问网络安全专家。对于拥有强大网络安全团队和策略的成熟企业，漏洞赏金计划可提供额外的安全保护。对于银行和医疗保健行业的大企业而言，道德黑客可以比仅内部网络安全团队覆盖更多的领域。\u003cbr\u003e\n\n相关：p网络安全认证实用程序\n\n可从HackerOne和Bugcrowd等受信任的供应商处获得漏洞赏金平台。这些SaaS产品通过提供道德黑客与企业之间的沟通途径，帮助启动成功的漏洞赏金计划。他们的黑客经过审查并且能力强大。\u003cbr\u003e Bug赏金猎人具有创造力，可以像黑客一样思考。在黑客不断变化和发展的环境中，网络安全程序迅速变得过时。参加漏洞赏金计划的大多数黑客都是月光照明者。\u003cbr\u003e有些黑客这样做是为了提高其作为网络安全员工或未来员工的技能。有些人这样做是希望找到相应支付的The Big One。还有一些人这样做是为了参加相互之间共享知识的道德黑客的紧密联系。甚至美国国防部也利用道德黑客。\n\n快速提示\n\n但是，与道德的黑客组织合作并不像注册一样简单。首先要奠定适当的基础。\u003cbr\u003e\n\n请记住，道德的黑客都会发现漏洞。他们不会审核和修复它们。如果组织的网络安全团队不准备对有道德的黑客发现的问题采取行动（更不用说理解黑客发布的报告了），则意味着这些资金最好用于增强网络安全。\u003cbr\u003e\n\n道德入侵的目的不是要成为一个整体的网络解决方案。在执行强大的网络安全策略后，应将其部署为高级版本。换句话说，在使用漏洞赏金计划之前，应该先进行基本的安全扫描，笔测试和最佳实践。\u003cbr\u003e漏洞赏金计划不应以其他网络安全工作为代价。\n\n有几种不同的错误赏金模型。有些工作是在特定范围内进行的。\u003cbr\u003e其他工作是在每年或每两年一次的“ hack-a-thons”中进行的，而不是全年提供的服务。不同的供应商提供不同类型的平台。为了使漏洞赏金计划生效，这应该是IT，网络安全团队和最高管理层之间的共同努力。\u003cbr\u003e\n\n尽管对于正在寻求迈向更高安全性的下一步的网络安全团队，道德黑客并不是企业必须具备的，但事实可能只是如此。\n\n了解更多：本周事件。