本文轉(zhuǎn)載自微信公眾號“數(shù)世咨詢”（dwconcn）。

高額漏洞賞金引人矚目，但并未緩解應(yīng)用安全缺陷。

Zoom最近將其眾包安全項目發(fā)放的漏洞賞金單價提升到了最高5萬美元。高額賞金登上媒體頭條，吸引安全人才紛紛投入挖洞領(lǐng)賞事業(yè)，但也提出了一個問題：漏洞到底值多少錢?

前滲透測試員和Bugcrowd Top10研究員，CDL現(xiàn)任首席信息安全官Alex Haynes與您分享他對漏洞價值幾何的看法。

[[387561]]

幾年前，Zoom的眾包安全項目才剛剛成立的時候，我在Zoom的產(chǎn)品中找到了幾個漏洞。其中三個漏洞已經(jīng)有其他人在我之前發(fā)現(xiàn)了，這在眾包安全領(lǐng)域稱為“重復(fù)”，意味著就算漏洞有效你也拿不到報酬。

第四個漏洞就有意思了：新冠肺炎疫情剛爆發(fā)的時候Zoom使用率不是暴增么?審查力度自然也就水漲船高，然后就發(fā)現(xiàn)同樣的漏洞又出現(xiàn)了。我將這個漏洞標(biāo)記為“潛在不安全URI可導(dǎo)致本地文件包含、命令注入或遠(yuǎn)程連接”，當(dāng)初我就是這么利用的?？偨Y(jié)一下就是：你可以在聊天中向?qū)Ψ桨l(fā)送看起來很像鏈接的統(tǒng)一資源標(biāo)識符(URI)，這些URI能干各種各樣的事，比如打開惡意網(wǎng)站、下載文件，甚至在用戶的系統(tǒng)上執(zhí)行各種命令。(神奇的是，連gopher://協(xié)議都不在話下。)2020年初重現(xiàn)的這個漏洞與之雷同，主要利用通用命名約定(UNC)路徑將NT LAN Manager(NTLM)憑證發(fā)往攻擊者的域。

通報這個漏洞最終讓我得到了高達(dá)50美元的“巨資”，漏洞“上達(dá)天聽”的整個過程耗時約半年。兩年后，我收到一條消息稱漏洞被修復(fù)了，問我有沒有時間檢查一下補丁。(我沒時間。)時至今日，眾包安全領(lǐng)域掏錢爽快多了，但屢屢驚掉下巴的巨額賞金掩蓋了真正的問題：我們真的值得為一個漏洞支付5萬美元嗎?

高額賞金危害從業(yè)人員和產(chǎn)品

當(dāng)然，此類數(shù)目并非沒有前例。疫情高峰時，適用于Windows應(yīng)用的Zoom零日漏洞據(jù)稱賣出50萬美元高價，還有Zerodium等公司在漏洞交易“灰色市場”上頻繁流通此類漏洞。

說到灰色市場就扯遠(yuǎn)了，我們說回眼前的問題：眾包安全項目不斷高企的賞金支出存在諸多弊端。雖然主要目的是增加項目的吸引力(記住，眾包項目依賴奧威爾式零工經(jīng)濟，也就是說除非找到有效漏洞，否則你分文不得)，但高額賞金也存在從全職或勞務(wù)派遣等合法安全領(lǐng)域不斷吸血安全人才的反效果。

而且，流入生產(chǎn)環(huán)境后的漏洞修復(fù)成本也得考慮進(jìn)去。有這5萬美元，用來堵住漏洞根源和施行“安全左移”不是多好?最起碼，這筆錢可以用來做下面這幾件事：

• 聘用全職應(yīng)用安全工程師
• 執(zhí)行10到20次滲透測試或代碼審查(取決于日薪)
• 購買全套自動化滲透測試軟件
• 全面部署和實現(xiàn)千萬行代碼級靜態(tài)應(yīng)用安全測試(SAST)軟件(代碼掃描/依賴)
• 培訓(xùn)成百上千名開發(fā)人員安全編程技術(shù)

做到上述任何一條，眾包項目報告的這些漏洞都可以遠(yuǎn)遠(yuǎn)早于進(jìn)入生產(chǎn)環(huán)境之前就識別出來，而且成本還低得多。雖說漏洞獎勵可以抵消最終漏洞利用的金融沖擊，但如果采取安全左移方法，抵消效果還能大上十倍。如果在進(jìn)入生產(chǎn)環(huán)境前SAST或應(yīng)用安全工程師，甚或代碼審查就發(fā)現(xiàn)了10個漏洞，那么代碼重構(gòu)和為單個漏洞單獨發(fā)布一個構(gòu)建的額外開支就省了下來。

揪住根源而非癥狀

眾包安全加劇了追逐癥狀而非根源的問題，一味提高賞金數(shù)額并不會緩和需要解決的結(jié)構(gòu)性問題：良好的應(yīng)用安全。網(wǎng)絡(luò)安全技術(shù)領(lǐng)域那一大堆IAM、WAF、DAST、SIEM等等產(chǎn)品的問題與之類似，很多技術(shù)不過是在一條全面的應(yīng)用安全流水線就能解決的問題上再包上幾層繃帶。

單個漏洞五位數(shù)的賞金并不意味著安全狀況立馬得到改善。在確定漏洞賞金數(shù)額的時候，如果問題變成了“這個漏洞是不是太貴了?”，那你就應(yīng)該問問自己“我安全左移到位沒有?”了。