Heartbleed如何將漏洞轉化為品牌

Heartbleed是廣泛使用的網絡安全軟件中的一個危險安全漏洞，五年前本周公開亮相。它被證明是網絡安全的一個里程碑時刻，甚至更可能是網絡安全公司的營銷。

重要的原因：Heartbleed既是一場安全噩夢又是一場專業(yè)品牌的營銷活動，這種配對為安全研究如何進入世界提供了新的默認。

undefined

顯示較少

背景：當安全公司Codenomicon向公眾宣布Heartbleed時，它帶有專業(yè)設計的徽標和獨立的網站。

我不能強調這一點：如果有一個漏洞需要營銷活動，那就是Heartbleed，這是數百萬網站(包括當時谷歌和Facebook)使用的OpenSSL加密軟件的一個缺陷，可能會咳嗽關鍵安全或個人數據。

漏洞研究 - 發(fā)現計算機系統(tǒng)和軟件中的新安全漏洞 - 是網絡安全，實踐和網絡安全，業(yè)務的關鍵。因此，一旦漏洞品牌開始，它就會開始滾雪球。

2014年晚些時候，當發(fā)現Unix Bash Shell中的一個主要漏洞時，研究人員Davi Ottenheimer在Twitter上開玩笑說，這個發(fā)現“很不錯。但是只要有徽標，它就不會大了。”安德烈亞斯林德回應了一個標志和一個卡的名稱：ShellShock。

不久有Ghost和Stagefright。最近有Meltdown和Spectre。為了引起人們對一個錯誤的關注以及發(fā)現它的研究人員，標識，網站和公關代理變得非常嚴格。

問題在于：品牌推廣通常會使不太嚴重的錯誤過度膨脹。這可能是聰明的營銷，但對于那些試圖解決重要問題的人來說，這是一個問題。

“當人們沒有成熟的優(yōu)先排序過程時，人們會確定[固定]品牌的優(yōu)先事項，”Veracode的聯合創(chuàng)始人兼首席技術官Chris Wysopal說。“他們這樣做是因為如果他們從客戶或合作伙伴那里被問到有關它的問題，他們希望被視為問題的最重要。”

道德可能會變得朦朧。有些過度的品牌漏洞顯然是為了操縱股票價格而被推銷，或者被大大夸大的漏洞轉移了安全對話。

“我認為很多人希望''''''''''''''''''''''''''''''''''''''''''''''''''“它充滿了市場營銷，推銷技巧和流行文化，以及所有你不希望成為嚴肅批評事物的東西。”

總體情況：使用聰明名稱的明顯替代方法是使用在漏洞數據庫中注冊的ID號。

Microsoft使用字母MS后跟數字代碼列出了它所知道的漏洞。國家漏洞數據庫對字母CVE也是如此。

平心而論，討論一個名為“我是根”的錯誤要比擔心你錯誤地將CVE-2019-0123錯誤地用于CVE-2019-0132要容易得多。

永遠的想法永遠不會發(fā)生：2015年，Fortinet的博客建議采用世界衛(wèi)生組織的命名標準 - 找到描述特定問題的名稱而不夸大它。

底線：“我們很少發(fā)現系統(tǒng)中的Heartbleed漏洞。大多數其他'品牌'漏洞也是如此。但我們仍然覺得無聊的舊MS08-067和MS17-010，”托馬斯說。