完善网络安全防御的关键要素


信用：DC Studio / Shutterstock

主要要点

• 随著网络安全威胁越来越复杂，企业需要从反应式转变为主动式的网络安全策略。
• 企业应重视伦理黑客和漏洞奖励计划，这些是提升网络安全的关键组成部分。
• 《Crypto.com》的经验显示，成功的漏洞奖励计划需具备明确的范畴、透明的奖励结构、迅速而尊重的沟通、持续的改进以及内部伦理黑客团队。

在快速发展的网络安全领域，主动采取措施的需求变得越来越迫切。

当我初入网络安全领域时，主要威胁主要来自那些利用已知漏洞的机会性黑客，数百万美元的赎金根本不曾听闻。然而，今天的风险已大幅提升。根据 Cybersecurity Ventures 的报告，预计到 2025 年，网络犯罪的成本将达到每年 10.5 兆美元，相较于 2015 年的 3兆美元，增幅惊人。

这一快速上升强调了一个关键事实：企业必须将网络安全战略从反应式转向主动式。但这并非易事，没有单一的工具或系统能确保你的组织始终比黑客快一步。随著黑客的变化，我们必须进化和适应——全面的工作需要随时洞察潜在威胁并预测下一步动作。完善的网络安全战略需要非常彻底和复杂的方法，但企业常常忽视的基础关键组成部分就是伦理黑客和漏洞奖励计划。

漏洞奖励计划的战略必要性

回顾我在 Crypto.com担任首席信息安全官的经历——这是全球最大加密平台之一——我亲眼见证了漏洞奖励计划如何改变公司的安全状态。这些计划邀请伦理黑客发现并报告潜在的安全漏洞，并不仅仅是一项安全政策中的一个勾选项；它们是战略上的必要措施。在当前频繁且日益复杂的网络攻击时代，仅依赖内部团队寻找所有漏洞显然不现实。

伦理黑客，又称为「白帽子」，带来新鲜的视野。他们挑战系统的方式，即使是最富经验的内部安全团队也可能忽略。我们首次启动漏洞奖励计划时，我被这些黑客提供的见解所震惊——这些见解从根本上加强了我们的防御。

那些不从事网络安全操作的人可能没有意识到网络专业人士日常工作的复杂性，有时也可能对违规事件中的假设失误进行过快的责备。实际上，组织内部存在著相互矛盾的优先事项、有限的预算、旧有系统，并且需要时间去经常测试和修补不同的系统——这些都是其他挑战。这些挑战，加上世界经济论坛报告的全球网络安全人才短缺接近四百万名工作者，显示了为什么漏洞奖励计划应成为你安全组织的必要延伸。

案例研究：加密行业的教训

在 Crypto.com，我们深刻地记住了这些教训