安全路透社
当前位置:安全路透社 > 网络转载 > 正文

为什么企业应该聘用黑客:如果你无法打败他们,那么就让他们加入你的团队

黑客的力量常常令人望而生畏,企业是应避而远之,还是应加以利用?看专家如何看待黑客的力量。

Clipboard Image.png

“你想要找出目前市场上安全系数最高的软件吗?那么我可以告诉你,哪家公司给黑客提供的“漏洞奖金”最高,那么这家公司的产品肯定是最安全的。”

这句话是HackerOne的创始人兼首席技术官AlexRice在2016年的WIRED Security大会上说的,因为Rice认为企业应该积极地与黑客合作,所以他打算通过这次演讲改变此前人们对黑客所持有的消极态度。除此之外,Rice还鼓励公司雇佣黑客为他们效力。

“我们应该学会利用黑客的优势和长处,而不是一味地否定他们。”

Android、iOS和Chrome之类的项目都会给报告漏洞的白帽子提供高额的漏洞奖金,以鼓励黑客找出这些系统中存在的安全漏洞。Rice表示:“如果你真的重视网络安全,那么你应该马上买一台Chromebook,但很少有人会这么做。”

演讲视频:

慧眼识人

HackerOne创建了第一个漏洞协调以及漏洞奖励平台,创建这个平台的目的就是为了鼓励黑客们找出企业产品中存在的漏洞。如果黑客能够找出漏洞并上报漏洞信息,这样黑客在拿到相应漏洞奖金的同时,也可以避免承担其他的一些风险,毕竟他们是在做好事。Rice目前的工作就是为公司组建出一个出色的黑客团队,但并不是所有的“千里马”都能被发现,比如说Samy Kamkar。想要找出合适的人选,的确是一个不小的挑战。

2006年,Kamkar制造了一个JavaScript病毒,并将该病毒植入了MySpace。而他的目的只是为了利用这个病毒增加他MySpace的好友数量。于是,在短短的十个小时内,他的好友数量就达到了一百万个!他原以为他会接到MySpace的电话,万万没想到他等来的却是FBI。最终在证据面前,他签署了认罪协议,而警方对他的惩罚就是三年不能使用电脑。三年时间一到,Kamakar立即重返黑客领域,并致力于研究隐私保护和追踪技术,他希望通过他的努力让我们的网络环境变得更加安全。

Rice在演讲时说到:

“Kamkar掌握了一名黑客所必备的全部技能,浪费了一个天才三年的时间,这简直就是“暴殄天物”!此外,我认为我们都应该感谢SamyKamkar。好奇心驱使科技不断向前发展,而科技又服务于我们。所以,我们应该学会利用黑客们的好奇心,并将这份令人难以置信的好奇心用在正确的地方。”

合理利用,效果惊人

Rice认为,很多公司会出于安全方面的考虑而不敢雇佣黑客,比如甲骨文公司。甲骨文公司针对客户建立了一套产品使用条款,尽管客户为相应产品的使用支付了费用,但条款并不允许他们寻找产品中存在的漏洞。

除了组建自己的黑客团队,HackerOne一直以来都在帮助其他的一些企业组建优秀的黑客团队,这些黑客团队最终也成为了很多公司最为核心的安全部门,例如Twitter。从获取软件的完整控制权,到入侵物联网设备,这些黑客们所涉及的领域是非常广泛的

Rice与这些黑客一起工作了六个月,最后总共有70名黑客加入了Twitter的安全团队。目前为止,这些黑客们已经发现了99个安全漏洞,其中有25个是高危漏洞。

Rice说到:“企业想要发展得好,就必须要想办法利用黑客的先天优势,Twitter就是一个成功的典范。现在很多公司也已经开始意识到了,越早启动漏洞奖励计划对公司发展也就越有利。”

现在连美国国防部都已经启用了漏洞奖励计划,在这个计划执行的一个月内,黑客们就已经找到了138处安全漏洞。而更夸张的是,在该计划启动的13分钟后,就有黑客提交了第一个漏洞!

Rice感慨道:“黑客们的力量真是大到让我无法想象!”

* 参考来源:wired,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

未经允许不得转载:安全路透社 » 为什么企业应该聘用黑客:如果你无法打败他们,那么就让他们加入你的团队

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册