Heartbleed如何將漏洞轉(zhuǎn)化為品牌

Heartbleed是廣泛使用的網(wǎng)絡(luò)安全軟件中的一個(gè)危險(xiǎn)安全漏洞，五年前本周公開(kāi)亮相。它被證明是網(wǎng)絡(luò)安全的一個(gè)里程碑時(shí)刻，甚至更可能是網(wǎng)絡(luò)安全公司的營(yíng)銷。

重要的原因：Heartbleed既是一場(chǎng)安全噩夢(mèng)又是一場(chǎng)專業(yè)品牌的營(yíng)銷活動(dòng)，這種配對(duì)為安全研究如何進(jìn)入世界提供了新的默認(rèn)。

undefined

顯示較少

背景：當(dāng)安全公司Codenomicon向公眾宣布Heartbleed時(shí)，它帶有專業(yè)設(shè)計(jì)的徽標(biāo)和獨(dú)立的網(wǎng)站。

我不能強(qiáng)調(diào)這一點(diǎn)：如果有一個(gè)漏洞需要營(yíng)銷活動(dòng)，那就是Heartbleed，這是數(shù)百萬(wàn)網(wǎng)站(包括當(dāng)時(shí)谷歌和Facebook)使用的OpenSSL加密軟件的一個(gè)缺陷，可能會(huì)咳嗽關(guān)鍵安全或個(gè)人數(shù)據(jù)。

漏洞研究 - 發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)和軟件中的新安全漏洞 - 是網(wǎng)絡(luò)安全，實(shí)踐和網(wǎng)絡(luò)安全，業(yè)務(wù)的關(guān)鍵。因此，一旦漏洞品牌開(kāi)始，它就會(huì)開(kāi)始滾雪球。

2014年晚些時(shí)候，當(dāng)發(fā)現(xiàn)Unix Bash Shell中的一個(gè)主要漏洞時(shí)，研究人員Davi Ottenheimer在Twitter上開(kāi)玩笑說(shuō)，這個(gè)發(fā)現(xiàn)“很不錯(cuò)。但是只要有徽標(biāo)，它就不會(huì)大了。”安德烈亞斯林德回應(yīng)了一個(gè)標(biāo)志和一個(gè)卡的名稱：ShellShock。

不久有Ghost和Stagefright。最近有Meltdown和Spectre。為了引起人們對(duì)一個(gè)錯(cuò)誤的關(guān)注以及發(fā)現(xiàn)它的研究人員，標(biāo)識(shí)，網(wǎng)站和公關(guān)代理變得非常嚴(yán)格。

問(wèn)題在于：品牌推廣通常會(huì)使不太嚴(yán)重的錯(cuò)誤過(guò)度膨脹。這可能是聰明的營(yíng)銷，但對(duì)于那些試圖解決重要問(wèn)題的人來(lái)說(shuō)，這是一個(gè)問(wèn)題。

“當(dāng)人們沒(méi)有成熟的優(yōu)先排序過(guò)程時(shí)，人們會(huì)確定[固定]品牌的優(yōu)先事項(xiàng)，”Veracode的聯(lián)合創(chuàng)始人兼首席技術(shù)官Chris Wysopal說(shuō)。“他們這樣做是因?yàn)槿绻麄儚目蛻艋蚝献骰锇槟抢锉粏?wèn)到有關(guān)它的問(wèn)題，他們希望被視為問(wèn)題的最重要。”

道德可能會(huì)變得朦朧。有些過(guò)度的品牌漏洞顯然是為了操縱股票價(jià)格而被推銷，或者被大大夸大的漏洞轉(zhuǎn)移了安全對(duì)話。

“我認(rèn)為很多人希望''''''''''''''''''''''''''''''''''''''''''''''''''“它充滿了市場(chǎng)營(yíng)銷，推銷技巧和流行文化，以及所有你不希望成為嚴(yán)肅批評(píng)事物的東西。”

總體情況：使用聰明名稱的明顯替代方法是使用在漏洞數(shù)據(jù)庫(kù)中注冊(cè)的ID號(hào)。

Microsoft使用字母MS后跟數(shù)字代碼列出了它所知道的漏洞。國(guó)家漏洞數(shù)據(jù)庫(kù)對(duì)字母CVE也是如此。

平心而論，討論一個(gè)名為“我是根”的錯(cuò)誤要比擔(dān)心你錯(cuò)誤地將CVE-2019-0123錯(cuò)誤地用于CVE-2019-0132要容易得多。

永遠(yuǎn)的想法永遠(yuǎn)不會(huì)發(fā)生：2015年，F(xiàn)ortinet的博客建議采用世界衛(wèi)生組織的命名標(biāo)準(zhǔn) - 找到描述特定問(wèn)題的名稱而不夸大它。

底線：“我們很少發(fā)現(xiàn)系統(tǒng)中的Heartbleed漏洞。大多數(shù)其他'品牌'漏洞也是如此。但我們?nèi)匀挥X(jué)得無(wú)聊的舊MS08-067和MS17-010，”托馬斯說(shuō)。