【51CTO.com快譯】許多公司明白，漏洞懸賞計(jì)劃只是做好安全工作的一方面。

軟件漏洞懸賞是一門大生意，越來越多的公司向在其操作系統(tǒng)、代碼或應(yīng)用程序中發(fā)現(xiàn)錯(cuò)誤的研究人員、開發(fā)人員和黑客給予大量獎(jiǎng)金。好處很明顯：搶在惡意組織或公眾之前發(fā)現(xiàn)漏洞，并進(jìn)行適當(dāng)?shù)男迯?fù)。

[[285481]]

整個(gè)夏天，蘋果宣布向發(fā)現(xiàn)iPhone安全漏洞的研究人員提供最高100萬美元的賞金。以前，蘋果僅向試圖找出電話和云備份漏洞的受邀研究人員提供獎(jiǎng)勵(lì)，而現(xiàn)在人人可以參與。

現(xiàn)在許多大公司設(shè)有漏洞懸賞計(jì)劃，包括蘋果、谷歌、Facebook、雅虎、微軟甚至美國(guó)國(guó)防部。

然而安全觀察人士稱，漏洞懸賞計(jì)劃并不總是萬靈藥，企業(yè)組織不該以為實(shí)施懸賞計(jì)劃就意味著在保護(hù)組織方面已做好了摸底工作。

企業(yè)戰(zhàn)略集團(tuán)(ESG)的網(wǎng)絡(luò)安全服務(wù)首席分析師Christina Richmond說：“企業(yè)組織是不是提供了漏洞懸賞計(jì)劃就不用操心其他呢?答案是否定的。”除了提供懸賞找出安全漏洞外，企業(yè)組織還應(yīng)盡可能頻繁地執(zhí)行持續(xù)測(cè)試、漏洞掃描和滲透測(cè)試。

不光光依賴漏洞懸賞的原因之一是懸賞獵人的誠(chéng)信。企業(yè)并不總是知道與自己打交道的是使用合法手段搜索、查找和披露漏洞的“白帽”或道德黑客，還是不懷好意、企圖闖入網(wǎng)絡(luò)或系統(tǒng)的“黑帽”黑客。

ESG在2019年夏季對(duì)220名安全專業(yè)人員進(jìn)行了一次調(diào)查，結(jié)果發(fā)現(xiàn)近四分之一(23%)的受訪者表示，他們?cè)谑褂寐┒磻屹p之類的眾包安全服務(wù)。調(diào)查發(fā)現(xiàn)，大多數(shù)使用眾包安全的人認(rèn)為，眾包安全利用白帽安全研究人員來發(fā)現(xiàn)并消除這幾個(gè)最嚴(yán)重的攻擊途徑存在的漏洞：服務(wù)器/云、移動(dòng)和物聯(lián)網(wǎng)等平臺(tái)上的Web和應(yīng)用編程接口。

尋找漏洞的成本

懸賞獵人的要價(jià)不低。HackerOne網(wǎng)絡(luò)安全公司運(yùn)營(yíng)的非營(yíng)利組織Hactivity稱，向成功的漏洞發(fā)現(xiàn)者支付的費(fèi)用在500美元至50000美元之間，數(shù)額視軟件安全漏洞的級(jí)別而定。

Kevin Curran是北愛爾蘭阿爾斯特大學(xué)的網(wǎng)絡(luò)安全教授，也是該大學(xué)法律創(chuàng)新中心的執(zhí)行聯(lián)合主任，兼環(huán)境情報(bào)和虛擬世界研究組織的負(fù)責(zé)人。還是IEEE資深會(huì)員的他說：“主要的問題是成本。想運(yùn)作成功的漏洞懸賞計(jì)劃，需要開出頗有競(jìng)爭(zhēng)力的價(jià)碼。不然，漏洞有可能被黑客搞到手。”

Curran稱，另一個(gè)問題是很難找到合格的安全專業(yè)人員來參與這些計(jì)劃。此外，還可能將時(shí)間浪費(fèi)在了并未發(fā)現(xiàn)任何漏洞的漏洞懸賞上。

Luta Security的創(chuàng)始人兼首席執(zhí)行官Katie Moussouris建議，在公司試圖充分利用漏洞懸賞計(jì)劃之前，應(yīng)先聘請(qǐng)內(nèi)部人員或安全顧問，因?yàn)橐恍┞┒春艹Ｒ娗液苋菀渍业?。雖然她認(rèn)為漏洞懸賞計(jì)劃有其價(jià)值，但它們本身不是適當(dāng)?shù)娘L(fēng)險(xiǎn)管理。

Moussouris說：“大多數(shù)組織自己就能發(fā)現(xiàn)漏洞懸賞計(jì)劃針對(duì)的大多數(shù)漏洞，如果它們可以填補(bǔ)所有空位，因?yàn)槟承╊愋偷穆┒春苋菀鬃R(shí)別。”

這類計(jì)劃也沒有獲得顯著成效。據(jù)從事漏洞情報(bào)、泄密數(shù)據(jù)和風(fēng)險(xiǎn)評(píng)級(jí)的公司RiskBased Security聲稱，2018年的公開漏洞中近8%是通過漏洞懸賞計(jì)劃發(fā)現(xiàn)的，而2017年僅為5.8%。

不過，漏洞懸賞的人氣持續(xù)上升。300000多名黑客已在HackerOne上報(bào)名成為了賞金獵人。此外ESG調(diào)查發(fā)現(xiàn)，88%的受訪者認(rèn)為漏洞懸賞服務(wù)提供了“經(jīng)過高度審查的、可信賴的安全研究人員。”

安全方面面面俱到

一家公司想確保自己在安全方面面面俱到，應(yīng)該制定安全規(guī)章，并進(jìn)行自動(dòng)安全掃描和某種類型的滲透測(cè)試。

Moussouris說：“一支運(yùn)作良好的安全團(tuán)隊(duì)若積極主動(dòng)地預(yù)防、發(fā)現(xiàn)和修復(fù)‘易于發(fā)現(xiàn)’的漏洞，能夠從針對(duì)更棘手問題的漏洞懸賞中受益。”

Richmond也表示：“我喜歡擴(kuò)大范圍……無論是依賴人的測(cè)試(比如漏洞懸賞)，還是泄密和攻擊模擬。”ESG主張采用它所謂的持續(xù)自動(dòng)滲透和攻擊測(cè)試(CAPAT)這項(xiàng)技術(shù)。

利用漏洞懸賞時(shí)，公司應(yīng)明確其目標(biāo)。Curran說：“漏洞懸賞在一些方面會(huì)有所不同，因此公司應(yīng)概述他們希望賞金獵人關(guān)注的方面，比如硬件、網(wǎng)絡(luò)、Web API或數(shù)據(jù)庫(kù)后端。”

Curran稱，向漏洞懸賞計(jì)劃上報(bào)的高價(jià)值安全漏洞中許多是由參與這些計(jì)劃的一小部分人發(fā)現(xiàn)的。不過他認(rèn)為，使用漏洞懸賞計(jì)劃最終對(duì)所有愿意掏錢的“專業(yè)公司”來說必不可少。

他說：“簡(jiǎn)單的回答是，漏洞懸賞計(jì)劃物有所值，可能在任何情況下都是如此。”

原文標(biāo)題：Bug Bounties: Big Business，作者：Esther Shein

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】