Heartbleed如何将漏洞转化为品牌

Heartbleed是广泛使用的网络安全软件中的一个危险安全漏洞，五年前本周公开亮相。它被证明是网络安全的一个里程碑时刻，甚至更可能是网络安全公司的营销。

重要的原因：Heartbleed既是一场安全噩梦又是一场专业品牌的营销活动，这种配对为安全研究如何进入世界提供了新的默认。

undefined

显示较少

背景：当安全公司Codenomicon向公众宣布Heartbleed时，它带有专业设计的徽标和独立的网站。

我不能强调这一点：如果有一个漏洞需要营销活动，那就是Heartbleed，这是数百万网站(包括当时谷歌和Facebook)使用的OpenSSL加密软件的一个缺陷，可能会咳嗽关键安全或个人数据。

漏洞研究 - 发现计算机系统和软件中的新安全漏洞 - 是网络安全，实践和网络安全，业务的关键。因此，一旦漏洞品牌开始，它就会开始滚雪球。

2014年晚些时候，当发现Unix Bash Shell中的一个主要漏洞时，研究人员Davi Ottenheimer在Twitter上开玩笑说，这个发现“很不错。但是只要有徽标，它就不会大了。”安德烈亚斯林德回应了一个标志和一个卡的名称：ShellShock。

不久有Ghost和Stagefright。最近有Meltdown和Spectre。为了引起人们对一个错误的关注以及发现它的研究人员，标识，网站和公关代理变得非常严格。

问题在于：品牌推广通常会使不太严重的错误过度膨胀。这可能是聪明的营销，但对于那些试图解决重要问题的人来说，这是一个问题。

“当人们没有成熟的优先排序过程时，人们会确定[固定]品牌的优先事项，”Veracode的联合创始人兼首席技术官Chris Wysopal说。“他们这样做是因为如果他们从客户或合作伙伴那里被问到有关它的问题，他们希望被视为问题的最重要。”

道德可能会变得朦胧。有些过度的品牌漏洞显然是为了操纵股票价格而被推销，或者被大大夸大的漏洞转移了安全对话。

“我认为很多人希望''''''''''''''''''''''''''''''''''''''''''''''''''“它充满了市场营销，推销技巧和流行文化，以及所有你不希望成为严肃批评事物的东西。”

总体情况：使用聪明名称的明显替代方法是使用在漏洞数据库中注册的ID号。

Microsoft使用字母MS后跟数字代码列出了它所知道的漏洞。国家漏洞数据库对字母CVE也是如此。

平心而论，讨论一个名为“我是根”的错误要比担心你错误地将CVE-2019-0123错误地用于CVE-2019-0132要容易得多。

永远的想法永远不会发生：2015年，Fortinet的博客建议采用世界卫生组织的命名标准 - 找到描述特定问题的名称而不夸大它。

底线：“我们很少发现系统中的Heartbleed漏洞。大多数其他'品牌'漏洞也是如此。但我们仍然觉得无聊的旧MS08-067和MS17-010，”托马斯说。