主要观点总结
本文介绍了俄乌战争引发的国际制裁对俄罗斯网络安全生态系统产生的影响,以及俄罗斯对漏洞赏金计划和黑客态度的变化。文章详细描述了俄罗斯漏洞赏金平台的发展情况,包括主要平台、漏洞赏金猎人的数量和参与公司的增加。同时,也提到了俄罗斯政府对漏洞赏金计划的参与和对网络安全的新举措。文章还讨论了这些发展对俄罗斯境外网络安全的影响,包括潜在的网络间谍活动增多等问题。
关键观点总结
关键观点1: 俄乌战争引发的国际制裁导致西方IT公司撤离,促使俄罗斯发展国内解决方案以改善网络安全态势。
俄罗斯开始推出漏洞赏金计划,以吸引漏洞赏金猎人和漏洞研究人员。
关键观点2: 俄罗斯主要漏洞赏金平台包括Bug Bounty RU、Standoff 365 Bug Bounty和BI.ZONE Bug Bounty等,平台上的漏洞猎人总数达到20000人。
这些平台吸引了来自银行、零售和IT行业的公司参与,表明俄罗斯公司对更好保护其产品的兴趣日益浓厚。
关键观点3: 俄罗斯政府利用国内漏洞赏金生态系统的出现和建立,少数俄罗斯政府机构已与相关平台展开合作以发现政府系统中的漏洞。
俄罗斯政府的这一行动表明了对漏洞赏金计划和黑客社区的看法发生了变化,将其视为增强安全的手段。
关键观点4: 俄罗斯漏洞赏金平台的发展不仅为俄罗斯黑客提供了可靠的西方替代方案,也为其他可能面临国际金融制裁的国家的漏洞研究人员提供了替代方案。
这可能导致俄罗斯黑客将发现的漏洞出售给国内零日漏洞获取公司,再由此类公司转售给俄罗斯执法和安全机构,从而增加西方国家的网络间谍活动。
关键观点5: 俄罗斯正在推动道德黑客行为合法化的法案,以支持漏洞赏金计划的发展。这一法案的通过将与俄罗斯政府加强网络安全的更广泛举措保持一致。
这一立法进程正在复杂化,需要解决包括强制事件报告、数据泄露罚款、禁止在关键基础设施中使用西方软件等问题。
文章预览
编者按 俄乌战争引发的国际制裁、IT孤立以及俄罗斯对道德黑客态度的转变导致俄罗斯的漏洞赏金计划日益增多,使得零日漏洞获取公司有机获利,并可能导致西方网络间谍活动增多。 俄乌战争引发的国际制裁导致HackerOne、BugCrowd、Intigriti等美西方漏洞赏金平台拒绝向俄罗斯和白俄罗斯用户提供赏金。鉴于俄罗斯漏洞赏金猎人和漏洞研究人员在处理西方漏洞赏金计划时面临的不确定性,俄罗斯IT公司已开始填补这一空白。目前,俄罗斯最大的三个漏洞赏金平台包括:俄罗斯Cyber Polygon倡议和Sinclit公司成立的“Bug Bounty RU”平台;俄罗斯网络安全公司Positive Technologies推出的“Standoff 365 Bug Bounty”平台;俄罗斯战略数字风险管理公司BI.ZONE建立的“BI.ZONE Bug Bounty”平台。2023年,上述平台上的白帽黑客总数达到20000人,其中包括来自亚洲、非洲和中东的漏洞
………………………………
