Bug bounty program a.k.a 漏洞獎金計畫對企業而言一直是一個又愛又恨的存在。有運行 bug bounty program 的企業可透過外部資安研究者發現服務漏洞，掌握漏洞揭露流程，但同時又苦於運行 program 時的經驗或規畫不完備，導致許多其他衍伸的問題。

本篇內容將會分享由獎金獵人的自身經驗出發，直到加入大型跨國企業協助處理與運行 bug bounty program 之後，同時獲得兩邊的知識也了解獵人與企業的難處。講者將這些經驗彙整，提供企業運行 bug bounty program 的起手指南與運行的眉角，並分享衝突與合作的案例。

自 2010 年 Stuxnet 對伊朗核計劃造成實質性破壞以來，ICS 安全問題不斷被提出。許多研究人員深入研究了駭客攻擊的技巧和路徑以及歷史上已知的攻擊以及更多的惡意軟體和事件。我們整理 ICS malware 於 OT 中的攻擊方式並將其歸納為4階段的攻擊流程，並使用此作出 (預計) 開源的工具。此演講將有實機攻擊的展示。