来自 CC防护 2021-06-10 22:07 的文章

防御ddos_服务器防御系统_怎么办

防御ddos_服务器防御系统_怎么办

ImmuniWeb>安全博客Facebook丑闻还是bug奖金可以取代传统的网络安全?2.9k 165 17 3 3 3 More 6 3 1周一,2016年1月11日,星期一,传输层的ddos防御软件,CSO阅读时间:4分钟。众包方式的网络安全测试能为您的企业应用程序工作吗?最近,Facebook的Bug悬赏计划引发了许多不同的反应,支持Facebook和安全研究员。不管这整个故事中谁是对的,有一个事实是清楚的:研究人员远远超出了Facebook最初的预期,获得了Facebook不想与任何人分享的敏感数据,包括研究人员社区。这些天来,臭虫奖励变得非常流行,越来越多的人质疑它们的效率和有效性。我们将尝试了解如何以及是否可以使用Bug奖励来测试您的公司web应用程序。我故意忽略了独立软件(例如Chrome或各种IoT应用程序)的缺陷,因为这是一个不同的主题。一方面,集群防御cc,Bug Bounties中使用的漏洞测试的众包方法非常有意义。随着越来越多的安全研究人员参与审计,cc防御攻略,他们将发现更多的漏洞和弱点。Bug Bounties的"按结果付费"的方法对许多CISO来说也很有吸引力,他们一直在努力优化预算,以应对在一个充满敌意和动态变化的网络环境中的所有风险和威胁。另一方面,我们需要清楚地了解缺陷的存在:1。不要期望研究人员在报告漏洞时考虑到您的风险策略您可能完全知道,并且您不打算立即补救由于经济原因、兼容性问题或与您的供应商达成的协议,可能会有几个研究人员在同时领取赏金。拒绝肯定会激起社区的愤怒,在最好的情况下,他们不会再向您报告任何漏洞。在复杂工作的"按成果付费"条件下,这种行为是完全合理的。2很少有研究人员会仔细阅读您的Bug悬赏指南和条件是的,您可以指定提交漏洞的任何条件和标准,但是很少有研究人员会完全阅读它们,ddos阿里防御,甚至很少有人会真正遵守它们。同样,当你为每个结果付钱给不认识的人时,不要惊讶于这种表现。三。Bug悬赏需要非常严格的技术、人力和财力资源—有些人倾向于认为Bug悬赏可以严重降低漏洞测试成本,因为您只需为结果付费。在大多数情况下,这种假设是完全错误的,因为执行不当的Bug悬赏只会破坏您与安全社区的关系,并给您的公司带来坏名声。一些研究人员甚至会故意进行全面披露,以报复缺乏反应或拒绝奖励。一个很好的例子是最近围绕Oracle CSO Mary Ann Davidson的博客文章的混乱,这篇文章痛斥了不断增长的垃圾提交数量,包括自动扫描仪的拷贝粘贴报告。如果你启动了一个缺陷奖励-确保你有足够的技术和人力资源来处理,分析和妥善跟进雪崩般的意见,你可能会收到-每一个提交都应及时得到适当的答复。4你很难在你的日志中区分黑帽子和合法的研究人员一旦宣布了一个缺陷悬赏,来自世界各地的许多合法的研究人员将开始探测你的系统。通常,他们会超出最初定义的测试范围,试图破坏辅助系统以访问目标(例如,获取存储在SVN服务器上的web应用程序的源代码)。没有经验的研究人员和新手将开始自动扫描所有他们将找到的开源和免费软件。这样的环境是一个让黑帽子躲在交通噪音中的埃尔多拉多,也是你的噩梦。意想不到的测试方法和技术将定期出现在你的视野中我个人认识两个公司,他们收到了来自研究人员的"Bug提交报告",他们自豪地宣称对针对公司基础设施的DoS攻击支付了奖金。我忽略了大量免费的,通常是有缺陷的,因此很危险的工具,[没有经验的]研究人员会一次针对你的系统不加任何谨慎地启动这些工具。作为对上述挑战的回应,最近有几家缺陷奖励管理公司进入了网络安全市场,在贵公司的漏洞奖励计划和研究人员之间提供了某种中介服务。他们确实在帮助企业和研究人员社区方面做了很大的工作。然而,它们也给市场带来了一些混乱:一些安全官员试图将[管理的]缺陷与传统的网络安全工具和解决方案相比较。让我们试着找出与传统的web安全性相比,web应用程序的缺陷数量的限制:1。Bug Bounty不能作为web基础设施的附加保护层,类似于经典的渗透测试或漏洞扫描,Bug Bounty旨在检测漏洞,ddos攻击犯怎么防御,而不是修补漏洞或阻止漏洞利用(虚拟修补)。因此,即使是管理良好的奖励也不会取代您的Web应用程序防火墙。2Bug Bounty无法取代对web基础设施的持续监视设计用于不断检测新出现的漏洞的持续监视已成为几乎任何信息安全策略的重要组成部分。然而,你不能强迫研究人员尊重任何形式的二语习得——他们想测试什么时候就测试什么。所以,不要指望赏金计划取代你的24/7监控系统。三。Bug Bounty不适合测试私有系统您的风险部门是否愿意为您的生产e-Bakint门户网站发送2FA代币到西伯利亚或班加罗尔?许多有才华的安全研究人员居住在那里,并被列为美国一些最大公司荣誉榜上的顶级安全研究人员。然而,即使是通过一个有管理的缺陷奖励计划,你也永远无法达到你期望的专业渗透测试公司提供的金融保险、合规性、责任和人事许可。一些缺陷悬赏管理公司可能会将你的奖励项目限制在声誉高、有特定技能甚至地理位置的研究人员身上,但他们只是将商业模式转向传统的渗透测试,盈利能力不明确,随着你的限制越大,就越难找到一个合格的研究人员,他们同意远程工作并按结果获得报酬。在这种情况下,你最好自己雇佣渗透测试人员:许多发展中国家的小公司会为你提供非常有吸引力的价格和有保证的工作范围。测试方法应与您的web基础设施及其在生产中的预期用途成比例。因此,如果您是一家大型公司,拥有大量面向公众的web应用程序,并为所有人设计,那么Bug悬赏计划绝对可以为您现有的安全武库带来巨大的附加值。否则,您最好将精力集中在web应用程序的主要风险上,并将安全预算用于更适合您的业务需求和技术要求的传统web安全解决方案和服务上。Bug Bounty就像搭便车——当你在度假或时间充裕时,这是一种很好的旅行方式,但完全不适合大多数需要保证、质量和准确性的商务旅行。函数getSelectionHtml(){var html="";if(typeof窗口.getSelection!="未定义"){var sel=窗口.getSelection();如果(选择范围计数){var容器=文档.createElement("div");对于(var i=0,len=选择范围计数;i