最近の記事:「 ウクライナにホワイトハッカーがいない理由やKyivstarハックの歴史 」(「 Geektimesで最も興味深い」ニュースレター)を読んだ後、私はコメントを注意深く読み、読者の何人かに話を聞きました。
脆弱性は間違いなくお金の価値があります。最悪の場合、企業が失う可能性のあるものです。
Ponemonのレポートによると、2015年の平均的な企業のデータ漏洩による損失は約380万ドルと推定されています。 &IBM。
最低限の脆弱性評価は、公開されているBug Bountyプログラムで確認できます。 これは、考える価値のあるフレームワークです。
適切な分析を行わない脆弱性評価は純粋に主観的なプロセスであるということを理解することが重要です。誰もが天井から彼の姿を言うからです。 これは、美術品の評価にやや似ています。 各アイテム(脆弱性):
- 絶対にユニーク
- 偽物は不可能です
- 単数形で利用可能
- 誰かにとっては1ペンスの価値はありませんが、誰かが何百万ドルも支払う気があります。
この理解からほど遠い、Bug Bountyプログラムを思いついたハッカーに対して、説明されたタイプの脆弱性の固定価格表を発表し、それをストリームに載せました
考えてみてください。マレヴィッチは、自分の正方形が絵を描くときにどれくらいの費用がかかるのか知りませんでした。
それでも、多くの素朴なハッカーは仕事を続けており、少なくともある程度の感謝を期待していますが、経営陣はギフトを見ていませんが、IT部門は左足でDotAの3回目のインストールを終了し、「彼らはこれに余分なお金を払っていない。」
特に賢いリーダーは、バグ報奨金プログラムを開始し、罰金とボーナスを導入して、テスターの無料のハッカー数千人の軍隊によって発見されたバグの数にリンクすることで、テスターの給与の費用をすでに最適化しました。
技術的なマインドセットのすべての人々が販売スキルを持ち、経営陣と交渉できるわけではないため、脆弱性を発見したシステム内の会社にオープン報酬プログラムがあり、発表された価格に同意する場合、安全に報告できます。
プログラムがない場合は、価格を設定してください。 これはあなたの時間であり、あなただけが感謝することができます。 最終的には、十分な匿名性で情報を十分なお金で販売できるシャドウマーケットとさまざまなフォーラムがあります。
オープンですべての情報にアクセス可能なPSの販売は法律違反ではありません
