【翻译】Depicher对话 Bugcrowd CTO： Casey Ellis

1. 是什么最初激发了你将漏洞披露作为职业生涯的一部分？是有一个顿悟的时刻还是一次经历让你想要专注于这个领域，还是它只是发生了？ 

凯西·艾利斯：不，肯定有几个顿悟的时刻。我一直热爱黑客攻击，以及与黑客攻击相邻的创新思维，这是它的前提。对于Bugcrowd来说，这意味着真正地审视传统解决方案、传统方法，以在与对手斗智斗勇的过程中取得胜利，并意识到如果有很多人在构建软件、做出令人敬畏的事情、在过程中犯错误并引入漏洞，那么数学就是错误的。然后你有这个未定义的对手群体，他们有自己的动机去发现这些问题并利用它们。一个按小时支付的人，无论他们有多好，最终都会输掉。我认为我身上的非理性创始人基因被这个想法锁定了，我想尝试找到解决它的方法。我认为，另一方面，在黑客社区长大的我，想要让我的伙伴们远离监狱，从某种意义上说，这一方面最终变成了Disclose.io。但在背景部分，这确实是关于如何在市场上使黑客的角色正常化和推广，以及那些能够以不同的方式思考并对计算机做出不良行为，但出于正当理由的人。因为在那个时候，如果你是一个黑客，你就是天生的坏人和天生的邪恶。我认为在过去的10年里，人们在理解数字锁匠的概念方面取得了很多进展，而不是我们只是所有的窃贼或类似的东西。 

2. 漏洞披露的一个主要部分，以及我们围绕这个问题所看到的冲突，是黑客在更广泛层面上被公司如何看待。过去十年来，自从你第一次开始研究漏洞披露政策以来，“黑客”一词的含义发生了什么变化？

凯西·艾利斯：我认为“黑客”仍然是一个让某些人害怕的术语。我认为现在的更广泛观点——不仅仅是在安全领域，而且在技术领域——是它实际上是一个双重用途的概念。这不是一个具有固有道德负担的概念，这是我们开始的地方：如果你在技术领域做这种事情，那就意味着你一定是邪恶的或恶意的，因此，我们不应该信任你。因此，如果你是一个黑客，你就是一个坏人，请离开。我认为我们现在已经超越了这一点，从广义上讲，人们将其视为一种道德中立的技能或工艺或行业。而在这一点上，问题真的变成了你在进行黑客攻击时如何划定道德界限。我们为此付出了很多努力，多年来还有一些其他人试图夺回“黑客”这个词，我不认为这个问题永远会得到解决。但我认为重新引入这种可能性，即这种事情可以以善意进行，这在我们开始时是不成立的。我相信现在是真的，这太棒了。 

3. 你仍然会听到这些故事，比如2017年，你有整个与DJI无人机制造商和试图报告漏洞的安全研究员发生的事件，以及遭到威胁。甚至在过去的一年里，你有密苏里州州长发誓要起诉一名报告安全漏洞的记者的戏剧。所以我们仍然看到这些类型的事件不断出现，但与此同时，我会说美国政府已经采取了很多积极的举措：看看黑客攻击五角大楼，甚至在过去的一年里，CISA和DHS在招募黑客方面做得相当好，这是一件好事。

凯西·艾利斯：当然，我认为CISA在与OMB发布的具有约束力的操作指令中所做的工作，要求美国联邦政府采取行动，他们为了向一群可能对此一无所知的人解释这个问题付出了很多努力。因为这是一个起点，当你告诉某人黑客是有益的，现在他们要告诉你你犯了一个错误，像这样的想法第一次听到时可能会非常不寻常和令人不安，所以你必须带领人们了解为什么以及过程以及为什么这是你要做的非常重要的事情。 CISA还在推荐的样板语言中加入了安全港条款。其中一些内容实际上是从Disclose.io中提取的，最后又回到了Disclose.io作为一个开源标准化项目。这反映了法律还没有赶上这种双重用途和善意黑客的能力。大多数事情仍然是以一种假设你在违法的方式来写的，你必须证明你没有，这与大多数其他犯罪不同。因此，将允许组织为善意工作的人创造一个豁免的模板放在那里的想法，再次，这是相当新颖的，也相当难做。当律师被引入未知领域时，他们倾向于为了在法律上完整而变得非常冗长，这对人们来说可能会令人困惑。所以CISA在这方面做得非常好，Bugcrowd很自豪能成为在美国联邦政府实际交付这些VDP和一些情况下的悬赏计划的首选合作伙伴。 

4. 那个合作伙伴关系，你能谈谈它的影响，特别是在不同的政府机构. 我听说过很多公司想要开始推出一个项目，但他们没有考虑到分级、报告方面，甚至没有能力处理不同的漏洞。

凯西·埃利斯：是的，确实如此。在Bugcrowd早期，我们看到了很多这样的情况，当漏洞赏金作为一个概念在周围产生了一种光环效应。这种效应仍然存在，但早期它是主要特征，人们只是想要做这个，因为他们想要进入TechCrunch，大肆宣扬他们在安全方面的优势，而没有必要考虑到最终可能导致的下游调整。对我来说，公共项目，特别是漏洞披露和漏洞赏金项目，最强大的地方在于组织内部安全团队以外的人们认识到“是的，错误是难免的，犯错是人之常情，我们可能会有我们无意中放置的漏洞。”这不是一个需要躲避的事实，而是一个需要接受的事实，然后尝试开始与之合作。让我们假设犯错是人之常情，找出由此产生的风险所在，修复这些风险，然后尝试从中学习，以减少将来这种情况的发生频率。你不能只是一头扎进去，这不是一个组织可以轻易打开的开关，通常需要先爬行，然后行走，最后奔跑。

“让我们假设犯错是人之常情，找出由此产生的风险所在，修复这些风险，然后尝试从中学习，以减少将来这种情况的发生频率。”

5.：对，甚至采用这种心态，认为安全错误会发生，错误会发生，这似乎对工作环境来说可能是一个完全的文化心态转变。所以这比仅仅推出一个简单的项目更困难。整个环境都需要改变。

凯西·埃利斯：是的，甚至管理文化、领导力、精英等方面，我越来越确信——通过Bugcrowd、Disclose.io等工具，自从我高中毕业以来一直在安全领域工作，我对漏洞披露和众包领域充满热情，但我对安全作为一个概念也非常着迷——从这个角度来看，我越来越确信我们在互联网上看到的很多东西最终都是人们认为这是不可能的结果。就像我所说的“鸵鸟风险管理”，如果你把头埋在沙子里，问题就不再重要了。我认为在技术和互联网的一个时期里，这实际上是真的，人们没有做他们应该做的事情就逃脱了。但特别是在过去两年里，随着技术的使用和对手行为的变化，这显然不是一个好的策略。所以我们在帮助人们做这个转变方面做了很多工作。

6. 当公司在审视这些善意政策时，他们是如何进行决策的？与安全团队有任何合作吗？

凯西·埃利斯：通常情况下，如果没有干预，安全或产品团队会自行处理，有时他们会复制粘贴一些东西，然后把它放在网站上，然后从那里开始。有时候会发生这种情况。不过，更常见的是，他们会与内部法律顾问或外部法律顾问进行互动，有时市场团队也会参与，以确保措辞符合品牌等方面的要求。这可能会变得相当复杂，需要达成共识。这也是为什么这些政策最终会变得非常冗长，包含各种令人困惑的内容，因为每个人都想添加一些东西。这就是Disclose.io提供的一个样板，它表示，这是最简单的版本，尽可能完整。坦率地说，这也是Bugcrowd的作用所在，帮助组织在面对不同利益相关者时，找出这是一个好主意还是一个坏主意？我们如何制定语言使其安全？所有这些可能对于第一次接触这类事物的人来说是相当复杂的对话。我认为，对于那些经历过这个过程的人来说，这会变得容易得多。但是，如果你以前从未接触过这种事情，那可能会让人觉得“哇，我们到底在做什么？”所以我们经常作为Bugcrowd参与其中，帮助协调这些利益相关者，了解他们的不同关注点，并尝试将其带回到一个中间点。

7. 你在澳大利亚和旧金山都有经验，你可能对漏洞披露在全球不同地区的现状有很好的了解。目前全球有哪些地方可能有更成熟的漏洞披露指南或规定？

凯西·埃利斯：我会谈谈那些更成熟的地方。荷兰在这方面做得很好，已经有很长时间了。有一件T恤，“我黑了荷兰政府，我得到的只是这件破T恤”，这已经有12、13年的历史了，它是一件收藏品。所以这个国家特别是在某个时候决定这件事非常重要，投入了大量精力对其进行标准化和规范化，并从此受益。爱沙尼亚也相当了不起。有趣的是，这些人口较少的国家在这方面更具灵活性，他们只是决定去做一件事，然后去做。老实说，我认为美国在这方面的领导力非常令人难以置信。一旦五角大楼的黑客活动开始，这种情况就会发生变化，你知道，国会法案、黑客攻击XYZ等等，然后你知道，DHS和OMB的BOD 20-01。澳大利亚正在追赶，我们正在与内政部就其网络安全战略进行广泛讨论，并将漏洞披露纳入该文件的四个主要建议之一...但就其成为我们必须做的事情而言，我认为他们比美国或荷兰朋友落后了一些。但是有工作在进行中，以基本上纠正这种情况。我会说新加坡政府也是如此，在积极开展这方面的工作，或者迪拜。世界各地都有不同的地方可以看到它被启用。然后从那里开始运转。因此，在欧洲周围出现了很多活动，开始将隐私保护等领先技术融入其中，因为没有安全性就无法真正实现隐私保护。因此，这是作为确保首先可以实际保护公民数据所采取的措施之一而出现的。由于控制具有完整性, 因此总体来说, 这是一个混杂状态......目前, 有相当数量的国家基本上正在积极努力赶上.

“我认为疫情促使社区和研究人员进行了很多自省，人们希望从职业角度更好地掌控自己的命运。”

8. 展望2022年，您是否看到任何关于漏洞披露方面的大趋势？我知道您也有黑客心理报告，如果与未来相关，我很想听听其中的收获。

凯西·埃利斯：是的，毫无疑问。我确实认为我们正走向另一个充满选择的一年。在这个时刻，信息战和网络安全之间的关系一直存在，但我认为2020年它以许多人以前从未真正理解过的方式展现出来。明年即将到来的事情很多，美国的中期选举，澳大利亚可能会举行联邦选举，还有其他很多国家。所以这些都是这个话题重新出现的机会。这确实回到了一个问题，那就是我们能在多大程度上信任我们依赖的进行民主进程的系统？对我来说，能够回答这个问题非常重要，我确实认为漏洞披露计划（VDP）是对抗安全问题和信息战的基本工具，因为你可以告诉一个选民，即使他们不懈技术，也可以说，这是互联网的邻里守望，他们会明白的。这并不意味着它是完美的，但这意味着我刚刚向你解释了我们正在做的一些事情，以保护你的投票和信息安全，这是好的。我认为明年这个问题会变得很有趣。可能另一个问题是攻击者的胆大妄为。人们似乎不再那么在乎被抓住。对我来说，这是2020年开始的攻击者行为的一个很大转变，但它已经持续下去，并且我认为已经蔓延到了2021年的勒索软件团伙和网络犯罪分子。这与勒索软件操作者的商业模式运作良好的事实相结合。这意味着有很多钱可以用于工具和创新。因此，将这些收益的一部分重新投资于提高效果，下一步将如何发展。我不确定，但作为一个企业家，设身处地为他们着想，这可能是我现在正在努力的方向。所以我希望明年开始看到这方面的成果。这有点可怕。但我认为只要紧跟其后，就有很多工作投入到对抗勒索软件，而不仅仅是一种特定类型的恶意软件。过去，攻击者只能在窃取有价值的东西时实现变现，但勒索软件基本上引入了拒绝服务的概念，并能够实现变现，这扩大了犯罪分子潜在的攻击范围。所以如果它有效，那么它将继续发生，因为这就是资本主义的运作方式。关于“黑客思维内幕报告”，我认为疫情促使社区和研究人员进行了很多自省，人们希望从职业角度更好地掌控自己的命运：“我希望处于一个能够更直接地参与到我所得到的回报中的位置。”考虑到全球范围内正在发生的大辞职潮，这种千禧一代中年危机现象，它确实以某种我认为非常有成效的方式在黑客社区中发挥作用。我们调查的80%的人在疫情之前没有遇到过漏洞，这部分是技术变革的产物，但也是因为他们都在学习新事物，我认为这非常棒。从技术方面来看，74%的受访者认为自COVID-19爆发以来，漏洞总体上有所增加。这整个关于数字化转型以及我们如何快速应对疫情的想法，速度是安全的天敌。所以，我在漏洞模式的很多变化中看到了人们只是快速行动，而没有必要考虑到缺点。所以我认为我们将在2022年继续解决这个问题。

9. 我很好奇疫情和这种对工作和远程工作观点的改变对信息安全社区整体产生了什么影响。

凯西·埃利斯：当然，我的经历是在地球另一边被困了18个月，这是一件事。我认为每个人都有某种版本的这种经历，他们不得不改变自己的操作和工作方式。但是，更普遍地说，这种获取和分布式访问的想法。在“黑客思维内幕报告”中的另一个部分是，45%的受访者认为，这种限制性范围实际上抑制了发现对组织产生重大影响的关键漏洞。我认为现在这更为真实。我一直认为这是真的，但现在比以前更真实，因为每个人都从外部访问。所以作为一个组织，这不仅仅是你的前门网站，而是你的整个实体，以及所有不同的进入方式。归根结底，如果我是一个试图进入并创造结果的攻击者，我不在乎我如何做到这一点，我只想进入。所以明年的范围需要比过去更紧迫地反映这一点。 

翻译自https://duo.com/decipher/q-and-a-casey-ellis 如有侵权请联系删除