Hackerone首席执行官MårtenMickos关于互联网中错误赏金的重要性没有参数
一个小主意通常会引发一些伟大的东西 - 至少,这就是黑客龙的情况。
自从荷兰黑客乔伯特·阿卜玛(Jobert Abma)和米歇尔·普林斯(Michiel Prins)推出了将成为世界上最大的国际漏洞赏金平台以来的七年中,发生了很多事情。
2016年3月看到了第一个黑客五角大楼与美国国防部合作的计划,今年早些时候,Hackerone宣布了有史以来第一个百万美元黑客。
现在,世界各地的组织已经支付了超过4200万美元的Bug Bounty Rewards,该奖励吸引了300,000多名安全研究人员的口头禅,“我们一起打了艰难”。
每日swbeplay2018官网ig与Hackerone首席执行官MårtenMickos陷入困境黑帽子亚洲上个月讨论黑客和企业之间建立信任的持续任务以及2019年的计划。
您是否发现亚洲政府和企业启动自己的漏洞赏金计划的兴趣增加?
MårtenMickos:是的,我们认为在接下来的十年中,这种兴趣将在每个行业中都在全球增长。
We’ve touched less than 10% of the market – probably less than 5% – so although we are very successful, if you just look at the numbers we have only 1,500 customers at HackerOne, and there are 150,000 organizations or more that should be our customers. There’s so much ground to cover.
现在,我们了解到,国家的中央政府是一个很好的起点,因为他们看到了不做任何事情的危险,并且采取了行动。然后是科技公司,然后是金融服务,工业公司,旅行,住宿,零售,几个部分。这将是巨大的,你知道吗?
您如何鼓励这些公司和政府参加?您是否发现自己与他们联系,还是他们来找您?
毫米:他们来找我们。我们的策略是,我们知道我们代表了一个非常新颖的模型,其生产力惊人且有效,但对我们的客户来说也是新的。他们看着它,并不真正知道它将如何工作,并且有些担忧。
我们首先为那些自愿来到我们身边的人服务,并独自意识到这是采取的途径,然后我们扩展。因此,我们确实对客户进行了教育,并就网络安全的新风格进行了讨论。
我们有一个旧世界,网络安全是基于参数的。好吧,没有参数了。旧世界是基于保密的 - 这是一个大错误。开放性是建立安全性的唯一方法。
在旧世界中,您只向一小群员工提供了安全访问权,这很愚蠢。每个人都需要完成它,您需要邀请所有人。
所有这些心理转变现在都在发生,并且将新模式的光明的公司和组织都来到了我们这里。但是在他们看到这一点之前,他们太害怕真正来找我们。
黑客龙的想法在哪里起源?
毫米:像许多人一样,或者是大多数伟大的公司,他们从创始人不一定认为这么大的东西开始。两名荷兰黑客从旧金山出来,开始黑客攻击公司。他们说:“嘿,我们可以试图破解你吗?如果我们找不到任何东西,我们会把您当作蛋糕。”
他们从来不必买蛋糕。
在您自己,黑客和使用该平台的公司之间建立信任吗?
毫米:好吧,这是我们的事。我们不过是一个平台,或者是人们聚在一起的地方,他们彼此之间不信任。签署[该计划]的公司同意不要追随黑客,而签约的黑客同意不要对客户犯罪或损害任何犯罪或损害。
There’s a promise on both sides, and this is a common construct in business, where if you’re lending out money to someone you don’t know, there’s a bank in the middle that establishes trust both ways and then you know, “Okay, this bank I can trust so I can give them my money”. They can give it on to someone else, I don’t need to worry about that other person. So it’s a similar construct and its working very, very well.
当然,您总是可以问:“它是如何开始的,谁是第一个信任某人的人?”
为此,您需要一个非常勇敢的组织和一些勇敢的黑客。但是,一旦有了这个起点,它就会有机地开始增长,现在我们已经为美国国防部(国防部)服务了三年多了。[现在]对于任何人来说,您都可以信任它 - 如果国防部信任我们,那么您也可以。到目前为止,如果您对此合理,那么您会意识到它正在起作用,您可以信任它。
您不必将该假设基于Hackerone的所作所为。您可以查看其他正在执行此操作的供应商 - 微软,Google和Facebook正在运行自己的巨大漏洞赏金程序,他们信任黑客。如果您准备好看到它,到处都有足够的证据。
在接下来的几个月中,Hackerone的议程是什么?
毫米:我们将继续扩展我们之前扩展的所有途径:更深入地进入新的垂直领域,为新的地理位置,为我们的客户提供更多服务。
今年的新功能是,我们有一个有时的漏洞赏金计划,从本质上讲,这是我们现在正在销售的黑客供电笔测试。在笔测试结束时,我们给您报告 - 类似于您从传统笔测试中获得的报告。
现在,我们在外面表明,黑客可以胜过传统的笔测试公司。而且,当然,许多黑客是他们日常工作的笔测试人员,但是他们是一个更加多样化的群体,他们的成绩不是按小时来支付的,甚至由同一个人产生更好的结果。
我们设定了相对较高的条。我们要确保这是一个非常高端的笔测试。It’s possible to buy a cheaper pen test if you don’t care about the results, [but] we don’t engage in that low level of pen tests just for the sake of a checkbox – we do pen tests for the sake of improving your security. That’s the distinction.
