Кэти Муссурис
Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Кэти Муссурис
ГражданствоАмериканец
ЗанятиеИсследователь безопасности , генеральный директор , предприниматель
РаботодательLuta Security
HackerOne
Microsoft
Symantec
@stake
ИзвестенПрограммы Bug Bounty , Раскрытие уязвимостей

Кэти Муссурис - американский исследователь компьютерной безопасности , предприниматель и пионер в раскрытии уязвимостей. Она наиболее известна своей постоянной работой в поддержку ответственных исследований в области безопасности. Ранее она была членом @stake , она создала программу поощрения ошибок в Microsoft [1] и принимала непосредственное участие в создании первой программы поощрения ошибок Министерства обороны США для хакеров . [2] [3] Ранее она занимала должность директора по политике в HackerOne , компании по раскрытию уязвимостей, расположенной в Сан-Франциско, Калифорния, [4]и в настоящее время является основателем и генеральным директором Luta Security. [5]

биография

Муссурис интересовалась компьютерами в молодом возрасте и научилась программировать на BASIC на Commodore 64, который ее мать купила ей в 3-м классе. [6] [7] Она была первой девушкой, изучившей AP Computer Science в средней школе. [6] Она училась в Симмонс-колледже, чтобы изучать молекулярную биологию и математику, и одновременно работала над проектом «Геном человека» в Институте Уайтхеда Массачусетского технологического института . Находясь в Уайтхеде, она перешла с лаборанта на должность системного администратора, а через три года стала системным администратором.для отдела аэронавтики и астронавтики Массачусетского технологического института, где она помогла разработать компьютерную систему для новой лаборатории, которая должна была открыться в 2000 году. [6] В это время она также работала системным администратором в Гарвардской школе инженерных и прикладных наук . Она переехала в Калифорнию, чтобы работать разработчиком Linux в Turbolinux и запустила их программу реагирования на вопросы компьютерной безопасности. [7] [8] Она активно участвовала в хакерской среде Западного побережья и официально присоединилась к @stake в качестве тестировщика на проникновение в 2002 году по приглашению Криса Висопала . [9]

Symantec

Муссурис присоединился к Symantec в октябре 2004 года, когда они приобрели @stake . [10] [11] Находясь там, она в 2004 году основала и руководила Symantec Vulnerability Research, которая была первой программой, позволившей исследователям Symantec публиковать исследования уязвимостей. [12]

Microsoft

В мае 2007 года Муссурис покинул Symantec и присоединился к Microsoft в качестве стратега безопасности. [11] Она основала научно - исследовательскую программу Microsoft Vulnerability (MSVR), объявленный в BlackHat 2008. [13] Программа координирует ответ на несколько важных уязвимостей, в том числе Дэн Каминский «s DNS изъян , [14] и также активно искал ошибки в стороннем программном обеспечении, влияющие на клиентов Microsoft (последующие примеры этого включают Google Project Zero ).

С сентября 2010 года по май 2014 года Муссурис была старшим руководителем отдела стратегии безопасности в Microsoft, где она руководила группой поддержки сообщества безопасности и стратегии Microsoft в составе группы Microsoft Security Response Center (MSRC). [15] Она инициировала присуждение премии Microsoft BlueHat Prize for Advancement of Exploit Mitigations, [16] которая присудила исследователям более 260 000 долларов США в качестве призов на BlackHat USA 2012. [17] Главный приз в размере 200 000 долларов США был в то время самой крупной денежной выплатой, предлагаемой компанией. поставщик программного обеспечения. [18] Она также создала первую программу Microsoft bug bounty [1], которая заплатила более 253 000 долларов и получила 18 уязвимостей за время ее пребывания в должности.

Стандарт раскрытия уязвимостей ISO

Муссурис помогал редактировать документ ISO / IEC 29147 примерно с 2008 года. В апреле 2016 года ISO сделала стандарт бесплатно доступным по запросу Муссуриса и Art Manion Координационного центра CERT . [19]

HackerOne

В мае 2014 года Муссурис был назначен директором по политике в HackerOne, компании по раскрытию уязвимостей, базирующейся в Сан-Франциско, Калифорния. [4] В этой роли Муссурис отвечал за философию раскрытия уязвимостей компании и работал над продвижением и узакониванием исследований в области безопасности среди организаций, законодателей и политиков.

Серия "Взломай ..."

Еще работая в Microsoft, Муссурис начал обсуждать с федеральным правительством программу вознаграждения за ошибки ; она продолжила эти разговоры, когда перешла на HackerOne. [20] В марте 2016 года Муссурис принимал непосредственное участие в создании пилотной программы Министерства обороны «Взломайте Пентагон», организованной и проверенной HackerOne. [21] Это была первая программа вознаграждения за ошибки в истории федерального правительства США. [22] Муссурис продолжил программу Пентагона, выпустив «Взломайте ВВС». HackerOne и Luta Security сотрудничают, чтобы в течение трех лет предоставить Министерству обороны до 20 вызовов bug bounty. [23]

Luta Security

В апреле 2016 года [24] Муссурис основал Luta Security [25], консалтинговую компанию, которая помогает организациям и правительствам совместно работать с хакерами через программы bug bounty.

Стипендиат Новой Америки

В течение 2015–2016 и 2016–2017 годов Кэти Муссурис работала научным сотрудником по кибербезопасности в New America , аналитическом центре в США . [26] [27]

Поправка к Вассенаарским договоренностям

В 2013 году Вассенаарские договоренности по экспортному контролю за обычными вооружениями и товарами и технологиями двойного назначения были внесены поправки, включившие «программное обеспечение для взлома». Муссурис написал статью в Wired, в которой критикует этот шаг как вредный для индустрии раскрытия уязвимостей из-за слишком широкого определения, и призвал экспертов по безопасности написать письмо, чтобы помочь регулирующим органам понять, как внести правильные изменения. [28] Она была приглашена в качестве технического эксперта для оказания непосредственной помощи в переговорах по Вассенаарским договоренностям США и помогла переписать поправку для принятия исключений по снятию контроля с конечного использования на основе намерений пользователя. [29]

Используйте исследования рынка труда

Муссурис была приглашенным научным сотрудником в Школе менеджмента Sloan при Массачусетском технологическом институте и аффилированным исследователем в Гарвардском Белферском центре науки и международных отношений , где она проводила экономические исследования рынка труда на предмет ошибок безопасности. Она является соавтором главы книги о первой модели системной динамики экономики уязвимости и рынка эксплойтов, опубликованной MIT Press в 2017 году [30].

Свидетельские показания в Конгрессе

В 2018 году Муссурис свидетельствовал перед подкомитетом Сената США по защите потребителей, безопасности продуктов, страхованию и безопасности данных об исследованиях безопасности в оборонительных целях. [31]

В 2021 году Муссурис свидетельствовал перед комитетом по науке, космосу и технологиям Палаты представителей США о повышении кибербезопасности цепочек поставок программного обеспечения. [32]

Анунсия Донесиа Сонгсонг Манглона Лаборатория гендерного равенства и экономического равенства

В 2021 году Муссурис пожертвовала 1 миллион долларов, чтобы основать лабораторию по гендерным вопросам и экономическому равенству Анунсиа Донесиа Сонгсонг Манглона в Университете штата Пенсильвания, названную в честь ее матери. «Manglona Lab» начнется с судебной клиники по вопросам гендерного равенства, предназначенной для решения проблемы финансовой дискриминации на рабочем месте при одновременном продвижении экономического равенства в соответствии с законом. [33]

Награды

В 2014 году журнал SC Magazine включил Муссури в список «Женщины в ИТ-безопасности». [12] Она также была названа одной из «10 женщин в области информационной безопасности, о которых должен знать каждый» [34] и «Стоит смотреть» среди наград «Женщины влияния» 2011 года. [35] В 2018 году она была включена в список «50 лучших женщин в мире Америки» по версии Forbes . [36]

Презентаций

  • Проект ISO «Ночь живых» по раскрытию уязвимостей, [37] Симпозиум 2010 г.
  • Волки с улицы Вулн: первая модель динамических систем дневного рынка, [38] Конференция RSA 2015 .
  • Панель: Как экспортный контроль Вассенаарских договоренностей "программного обеспечения для вторжений" влияет на индустрию безопасности, [39] BlackHatUSA 2015
  • Отказ от киберлигера: как взламывать, как будто завтра не существует, не уклоняясь от правил, [40] Kiwicon 2015

Публикации и статьи

  • «Не все хакеры злые». Время . Проверено 4 апреля 2016 г. [41]
  • «Дежавю раскрытия уязвимости: уголовное преследование, а не исследование». Темное чтение . Проверено 4 апреля 2016 года.
  • «Безумный мир: правда о наградах за ошибки». Темное чтение . Проверено 4 апреля 2016 года.
  • «Как я сюда попал: Кэти Муссурис». Сообщение с угрозами . Проверено 6 апреля 2016 года.
  • «Хакеры могут быть помощниками». Нью-Йорк Таймс . Проверено 18 июня, 2017. [42]
  • «Администрация должна продолжать добиваться изменений в системе международного контроля за киберэкспортом». Холм . Проверено 18 июня, 2017. [43]
  • «Пришло время взламывать планету». Threatpost . Проверено 24 сентября 2017 г. [44]

Иск Microsoft

В сентябре 2015 года, Moussouris подал дискриминационный класс действие иска против Microsoft в федеральном суде в Сиэтле . Она утверждала, что практика приема на работу в Microsoft поддерживает практику дискриминации по признаку пола в отношении женщин на технических и инженерных должностях в отношении служебной аттестации , оплаты, продвижения по службе и других условий найма. [45] [46]

использованная литература

  1. ^ a b «Бывший разработчик Microsoft Bug Bounty был вынужден расшифровать ноутбук для официального представителя аэропорта Парижа» . Проверено 4 апреля 2016 года .
  2. ^ «Пентагон запускает первую« награду за ошибку »Федерального агентства для хакеров» . ПРОВОДНОЙ . Проверено 4 апреля 2016 года .
  3. ^ «Взломайте Пентагон: Министерство обороны запускает первую в истории федеральную программу вознаграждений за ошибки» . Темное чтение . Проверено 4 апреля 2016 года .
  4. ^ a b «HackerOne получает 9 миллионов долларов, Кэти Муссурис назначает директором по политике | SecurityWeek.Com» . www.securityweek.com . Проверено 4 апреля 2016 года .
  5. ^ "Luta Security" . Лут Security, Inc . Проверено 17 июня 2017 года .
  6. ^ a b c "Девушка недели - июль 1999" . GirlGeeks . Проверено 13 апреля 2019 года .
  7. ^ a b МакГроу, Гэри (июль 2015 г.). «Серебряная пуля: переговоры с Кэти Муссурис» . Безопасность и конфиденциальность IEEE . 13 (4): 7-9. DOI : 10.1109 / MSP.2015.89 .
  8. ^ Moussouris, Кэти. «Тестирование на проникновение закончилось! Да здравствует тестирование на проникновение!» (PDF) . HackFest 2014 . Институт SANS . Проверено 13 апреля 2019 года .
  9. ^ Фишер, Деннис. « Ничего не будет длиться вечно“: Oral История LØpht, Часть четвертая» . Расшифровать . Duo Security . Проверено 13 апреля 2019 года .
  10. Рашид, Фахмида (15 августа 2014 г.). «Сестры в безопасности: прыжки веры Кэти Муссурис» . PCMagazine . PCMagazine . Проверено 23 сентября 2017 года .
  11. ^ a b Нарайн, Райан. «Основатель исследования уязвимостей Symantec присоединяется к Microsoft» . Нулевой день . ZDNet . Проверено 23 сентября 2017 года .
  12. ^ a b «2014 Женщины в ИТ-безопасности: Кэти Муссурис» . Журнал SC . Проверено 4 апреля 2016 года .
  13. ^ Каплан, Дэн. «ЧЕРНАЯ ШЛЯПА: Microsoft работает с третьими сторонами над уязвимостями» . SC Media US . Сенной Медиа, Инк . Проверено 24 сентября 2017 года .
  14. ^ Лемос, Роберт. «Альянс формируется, чтобы исправить ошибку, связанную с отравлением DNS» . SecurityFocus . Проверено 24 сентября 2017 года .
  15. ^ Leggio, Дженнифер. «100 мозгов: Кэти Муссурис из Microsoft делает безопасность доступной | ZDNet» . ZDNet . Проверено 4 апреля 2016 года .
  16. ^ DuPaul, Нил. «Microsoft BlueHat - 5 вопросов Кэти Муссурис» . Veracode . Veracode . Проверено 23 сентября 2017 года .
  17. ^ Смит (псевдоним), г-жа (27 июля 2012 г.). «Победители призов Microsoft BlueHat» . CSO Online . IDG Communications, Inc . Проверено 23 сентября 2017 года .
  18. ^ Kamath, Maya (8 августа 2015). «Вот список крупнейших в мире выплат« Bug Bounty »технологических компаний» . TechWorm . TechWorm.net . Проверено 23 сентября 2017 года .
  19. ^ Сааринен, Юха. «Стандарт раскрытия уязвимостей ISO теперь свободен» . iTnews . nextmedia Pty Ltd . Проверено 24 сентября 2017 года .
  20. ^ Зеттер, Ким. «Гуру Bug Bounty Кэти Муссурис поможет хакерам и компаниям играть хорошо» . ПРОВОДНОЙ . ПРОВОДНОЙ . Проверено 24 сентября 2017 года .
  21. ^ Shinkman, Пол Д. (1 апреля 2016). «Чтобы модернизировать армию, Пентагон обращается к хакерам» . Новости США и мировой отчет . Проверено 4 апреля 2016 года .
  22. ^ « Hack Пентагон“пилотная программа открывает для регистрации» . Новости Министерства обороны США . Министерство обороны США. 31 марта 2016 . Проверено 24 сентября 2017 года .
  23. О'Нил, Патрик Хауэлл (26 апреля 2017 г.). «США запускают программу вознаграждения за обнаружение ошибок« Взломайте ВВС »- Cyberscoop» . Киберскооп . Проверено 24 сентября 2017 года .
  24. Рианна Брук, Крис (14 апреля 2016 г.). «Кэти Муссурис о взломе Пентагона, обнимая хакеров» . Сообщение с угрозами . Проверено 15 августа, 2016 .
  25. ^ "Luta Security" . Luta Security .
  26. ^ «Стипендиаты по кибербезопасности 2016-2017 гг.» . Стипендиаты New America 2016-2017 по кибербезопасности . Проверено 19 июня 2017 года .
  27. ^ «Стипендиаты по кибербезопасности 2015-2016 гг.» . 2015-2016 Стипендиаты по кибербезопасности .
  28. Стивенсон, Аластер (22 июля 2015 г.). «Небольшое изменение в этом непонятном соглашении о торговле оружием может убить индустрию кибербезопасности» . Business Insider . Проверено 13 апреля 2019 года .
  29. Рианна Уотерман, Шон (20 декабря 2017 г.). «Последняя формулировка Вассенаарских договоренностей очень радует исследователей в области безопасности» . CyberScoop . Проверено 13 апреля 2019 года .
  30. ^ "Кэти Муссурис" . Институт национальной безопасности . Университет Джорджа Мейсона . Проверено 13 апреля 2019 года .
  31. ^ «СЛУШАНИЕ СЕНАТА США - ПРОГРАММЫ БЕЗОПАСНОСТИ ДАННЫХ И ПОИСК ОШИБОК: ИЗВЛЕЧЕННЫЕ УРОКИ» . Блог Hacker One .
  32. ^ «О SolarWinds и за его пределами: Повышение кибербезопасности цепочек поставок программного обеспечения» (PDF) .
  33. ^ «Пионер кибербезопасности выделяет 1 миллион долларов на лабораторию по вопросам гендерного равенства штата Пенсильвания | Университет штата Пенсильвания» . news.psu.edu . Проверено 6 марта 2021 года .
  34. ^ "Мишель Квон" . www.eweek.com . Проверено 4 апреля 2016 года .
  35. Редактор, Джоан Гудчайлд и старший (19 декабря 2011 г.). «Названы победители премии« Женщины влияния 2011 » . CSO Online . Проверено 4 апреля 2016 года .CS1 maint: дополнительный текст: список авторов ( ссылка )
  36. ^ "Кэти Муссурис" . Forbes .
  37. ^ https://www.ncsc.nl/english/conference/conference-2010/speakers/katie-moussouris.html
  38. ^ «Волки с Вулн-стрит: 1-я модель динамических систем нулевого рынка - США 2015 - Конференция RSA» . www.rsaconference.com .
  39. ^ «Black Hat USA 2015» . www.blackhat.com .
  40. ^ https://www.kiwicon.org/the-con/talks/#e194
  41. ^ Moussouris, Кэти. «Не все хакеры злые» . Time.com . Журнал Time . Проверено 19 июня 2017 года .
  42. ^ Муссурис, Кэти. «Хакеры могут быть помощниками» . Нью-Йорк Таймс . Проверено 19 июня 2017 года .
  43. ^ Moussouris, Katie (31 января 2017). «Администрация должна продолжать добиваться изменений в системе международного контроля за киберэкспортом» . thehill.com . Холм . Проверено 19 июня 2017 года .
  44. ^ Moussouris, Кэти. «Пришло время взламывать планету» . Threatpost . Проверено 24 сентября 2017 года .
  45. Джейн Манди (21 сентября 2015 г.). «Microsoft обвиняется в дискриминации в отношении женщин» . Lawyersandsettlements.com . Проверено 11 декабря 2015 года .
  46. ^ «Microsoft подала в суд по делу о дискриминации по признаку пола» . Reuters.com . 16 сентября, 2015. Архивировано из оригинала 10 декабря 2015 года . Проверено 11 декабря 2015 года .

внешние ссылки

  • Luta Security
  • HackerOne
Источник « https://en.wikipedia.org/w/index.php?title=Katie_Moussouris&oldid=1035367055 »
Contribute a better translation