Кэти Муссурис | |
---|---|
Гражданство | Американец |
Занятие | Исследователь безопасности , генеральный директор , предприниматель |
Работодатель | Luta Security HackerOne Microsoft Symantec @stake |
Известен | Программы Bug Bounty , Раскрытие уязвимостей |
Кэти Муссурис - американский исследователь компьютерной безопасности , предприниматель и пионер в раскрытии уязвимостей. Она наиболее известна своей постоянной работой в поддержку ответственных исследований в области безопасности. Ранее она была членом @stake , она создала программу поощрения ошибок в Microsoft [1] и принимала непосредственное участие в создании первой программы поощрения ошибок Министерства обороны США для хакеров . [2] [3] Ранее она занимала должность директора по политике в HackerOne , компании по раскрытию уязвимостей, расположенной в Сан-Франциско, Калифорния, [4]и в настоящее время является основателем и генеральным директором Luta Security. [5]
Муссурис интересовалась компьютерами в молодом возрасте и научилась программировать на BASIC на Commodore 64, который ее мать купила ей в 3-м классе. [6] [7] Она была первой девушкой, изучившей AP Computer Science в средней школе. [6] Она училась в Симмонс-колледже, чтобы изучать молекулярную биологию и математику, и одновременно работала над проектом «Геном человека» в Институте Уайтхеда Массачусетского технологического института . Находясь в Уайтхеде, она перешла с лаборанта на должность системного администратора, а через три года стала системным администратором.для отдела аэронавтики и астронавтики Массачусетского технологического института, где она помогла разработать компьютерную систему для новой лаборатории, которая должна была открыться в 2000 году. [6] В это время она также работала системным администратором в Гарвардской школе инженерных и прикладных наук . Она переехала в Калифорнию, чтобы работать разработчиком Linux в Turbolinux и запустила их программу реагирования на вопросы компьютерной безопасности. [7] [8] Она активно участвовала в хакерской среде Западного побережья и официально присоединилась к @stake в качестве тестировщика на проникновение в 2002 году по приглашению Криса Висопала . [9]
Муссурис присоединился к Symantec в октябре 2004 года, когда они приобрели @stake . [10] [11] Находясь там, она в 2004 году основала и руководила Symantec Vulnerability Research, которая была первой программой, позволившей исследователям Symantec публиковать исследования уязвимостей. [12]
В мае 2007 года Муссурис покинул Symantec и присоединился к Microsoft в качестве стратега безопасности. [11] Она основала научно - исследовательскую программу Microsoft Vulnerability (MSVR), объявленный в BlackHat 2008. [13] Программа координирует ответ на несколько важных уязвимостей, в том числе Дэн Каминский «s DNS изъян , [14] и также активно искал ошибки в стороннем программном обеспечении, влияющие на клиентов Microsoft (последующие примеры этого включают Google Project Zero ).
С сентября 2010 года по май 2014 года Муссурис была старшим руководителем отдела стратегии безопасности в Microsoft, где она руководила группой поддержки сообщества безопасности и стратегии Microsoft в составе группы Microsoft Security Response Center (MSRC). [15] Она инициировала присуждение премии Microsoft BlueHat Prize for Advancement of Exploit Mitigations, [16] которая присудила исследователям более 260 000 долларов США в качестве призов на BlackHat USA 2012. [17] Главный приз в размере 200 000 долларов США был в то время самой крупной денежной выплатой, предлагаемой компанией. поставщик программного обеспечения. [18] Она также создала первую программу Microsoft bug bounty [1], которая заплатила более 253 000 долларов и получила 18 уязвимостей за время ее пребывания в должности.
Муссурис помогал редактировать документ ISO / IEC 29147 примерно с 2008 года. В апреле 2016 года ISO сделала стандарт бесплатно доступным по запросу Муссуриса и Art Manion Координационного центра CERT . [19]
В мае 2014 года Муссурис был назначен директором по политике в HackerOne, компании по раскрытию уязвимостей, базирующейся в Сан-Франциско, Калифорния. [4] В этой роли Муссурис отвечал за философию раскрытия уязвимостей компании и работал над продвижением и узакониванием исследований в области безопасности среди организаций, законодателей и политиков.
Еще работая в Microsoft, Муссурис начал обсуждать с федеральным правительством программу вознаграждения за ошибки ; она продолжила эти разговоры, когда перешла на HackerOne. [20] В марте 2016 года Муссурис принимал непосредственное участие в создании пилотной программы Министерства обороны «Взломайте Пентагон», организованной и проверенной HackerOne. [21] Это была первая программа вознаграждения за ошибки в истории федерального правительства США. [22] Муссурис продолжил программу Пентагона, выпустив «Взломайте ВВС». HackerOne и Luta Security сотрудничают, чтобы в течение трех лет предоставить Министерству обороны до 20 вызовов bug bounty. [23]
В апреле 2016 года [24] Муссурис основал Luta Security [25], консалтинговую компанию, которая помогает организациям и правительствам совместно работать с хакерами через программы bug bounty.
В течение 2015–2016 и 2016–2017 годов Кэти Муссурис работала научным сотрудником по кибербезопасности в New America , аналитическом центре в США . [26] [27]
В 2013 году Вассенаарские договоренности по экспортному контролю за обычными вооружениями и товарами и технологиями двойного назначения были внесены поправки, включившие «программное обеспечение для взлома». Муссурис написал статью в Wired, в которой критикует этот шаг как вредный для индустрии раскрытия уязвимостей из-за слишком широкого определения, и призвал экспертов по безопасности написать письмо, чтобы помочь регулирующим органам понять, как внести правильные изменения. [28] Она была приглашена в качестве технического эксперта для оказания непосредственной помощи в переговорах по Вассенаарским договоренностям США и помогла переписать поправку для принятия исключений по снятию контроля с конечного использования на основе намерений пользователя. [29]
Муссурис была приглашенным научным сотрудником в Школе менеджмента Sloan при Массачусетском технологическом институте и аффилированным исследователем в Гарвардском Белферском центре науки и международных отношений , где она проводила экономические исследования рынка труда на предмет ошибок безопасности. Она является соавтором главы книги о первой модели системной динамики экономики уязвимости и рынка эксплойтов, опубликованной MIT Press в 2017 году [30].
В 2018 году Муссурис свидетельствовал перед подкомитетом Сената США по защите потребителей, безопасности продуктов, страхованию и безопасности данных об исследованиях безопасности в оборонительных целях. [31]
В 2021 году Муссурис свидетельствовал перед комитетом по науке, космосу и технологиям Палаты представителей США о повышении кибербезопасности цепочек поставок программного обеспечения. [32]
В 2021 году Муссурис пожертвовала 1 миллион долларов, чтобы основать лабораторию по гендерным вопросам и экономическому равенству Анунсиа Донесиа Сонгсонг Манглона в Университете штата Пенсильвания, названную в честь ее матери. «Manglona Lab» начнется с судебной клиники по вопросам гендерного равенства, предназначенной для решения проблемы финансовой дискриминации на рабочем месте при одновременном продвижении экономического равенства в соответствии с законом. [33]
В 2014 году журнал SC Magazine включил Муссури в список «Женщины в ИТ-безопасности». [12] Она также была названа одной из «10 женщин в области информационной безопасности, о которых должен знать каждый» [34] и «Стоит смотреть» среди наград «Женщины влияния» 2011 года. [35] В 2018 году она была включена в список «50 лучших женщин в мире Америки» по версии Forbes . [36]
В сентябре 2015 года, Moussouris подал дискриминационный класс действие иска против Microsoft в федеральном суде в Сиэтле . Она утверждала, что практика приема на работу в Microsoft поддерживает практику дискриминации по признаку пола в отношении женщин на технических и инженерных должностях в отношении служебной аттестации , оплаты, продвижения по службе и других условий найма. [45] [46]