近幾個月來，漏洞賞金計劃已經(jīng)從降低風險轉(zhuǎn)向無意中為客戶和供應(yīng)商帶來新的負擔。

漏洞賞金計劃在過去幾年中加速發(fā)展，宣稱可以加快漏洞識別、改善產(chǎn)品安全和削減成本。許多企業(yè)被此類外包解決方案所迷惑，興沖沖參與進來，卻發(fā)現(xiàn)自己面臨著意想不到的漏洞和未曾預期的威脅。首當其中的就是原以為可靠的漏洞快速修復，到頭來不過是另一種新的負擔。

隨著驗證要求越來越復雜，合規(guī)框架審計疲勞累積越來越多，沒有人會不經(jīng)過審慎的戰(zhàn)略性考慮就匆忙跳入漏洞賞金計劃。但不幸的是，隱藏的風險比比皆是。漏洞賞金計劃：

• 不是官方認可的第三方認證，也滿足不了監(jiān)管合規(guī)要求。
• 可以快速識別漏洞，但不能提供深度測試，也無法覆蓋整個攻擊界面。
• 向道德黑客開放了源代碼訪問權(quán)，但為對手自由找尋和惡意利用漏洞敞開了大門。

最被忽視的一個問題是，漏洞賞金計劃的成本很容易超出控制?？赡艿脑虬ǎ鹤R別出的漏洞數(shù)量不受限制(支付賞金)、漏洞被惡意利用(受監(jiān)管數(shù)據(jù)遭泄露)、修復無害漏洞(浪費開發(fā)時間)，以及法律判決(疏于補救)。

▶ 避免隱患

漏洞賞金計劃常被管理層視為利用外包即期支付模式高效暴露漏洞的萬靈丹。因此，很多計劃都過分強調(diào)了全面安全策略中漏洞賞金的價值。決策者太容易不經(jīng)過審慎考慮和盡職調(diào)查就批準此類項目了。但是，個中假設(shè)真的太多。

或許最根本的癥結(jié)在于人性，這引發(fā)了幾個問題。如果所謂的道德黑客中有人不那么道德會怎樣?如果粗心大意的賞金獵手就是沒能報告漏洞會如何?如果沒報告的漏洞后續(xù)暴露出來可能導致公司無法承擔的代價會怎樣?如果公司重度依賴漏洞賞金計劃這種測試形式，但忽視了遵從PCI、FedRAMP或其他監(jiān)管合規(guī)框架，又會如何?

最近的取證審查中就出現(xiàn)過這種情況：賞金獵手未能披露的漏洞在兩個月后被惡意黑客輕易利用了，造成大量高價值客戶數(shù)據(jù)就在這個本應(yīng)防止此類事件的漏洞賞金計劃眼皮底下被盜賣。

財富500強企業(yè)尤其感受到自己試圖通過漏洞賞金計劃保護的應(yīng)用正遭受越來越多的攻擊。高產(chǎn)環(huán)境中的攻擊途徑隨著賞金支出和機會目標的增多而不斷擴大。數(shù)量上升的同時，白帽子黑客舞弊的可能性也會增加，還會觸發(fā)埋伏在內(nèi)部和外部的惡意黑客未授權(quán)訪問。

大部分好黑客站在正義的一方。但典型的漏洞賞金計劃為快速變現(xiàn)單個漏洞提供了激勵。這種傭兵操作理論上很高產(chǎn)，但并不能抹殺恰當審查的必要性和保障計劃覆蓋整個攻擊界面的重要性。

數(shù)據(jù)泄露頻發(fā)的今天，法律責任風險巨大。有太多的判例法能讓公司承擔責任。失敗的漏洞賞金計劃越來越多地出現(xiàn)在法律發(fā)現(xiàn)過程中，并被用于證明公司的疏漏。

▶ 奏效關(guān)鍵

盡管存在隱患，但日常接觸這些計劃就會知道，漏洞賞金依然有效，可在企業(yè)風險管理中發(fā)揮重要作用。

首先，建議將漏洞賞金監(jiān)管委托給外部法律團隊。我們不僅僅要找出漏洞，還要保護公司面對法律和監(jiān)管責任的風險敞口，畢竟漏洞賞金計劃識別出的漏洞若未及時修復是要擔負法律責任的。法庭希望看到公司及時采取了合理的措施修復已發(fā)現(xiàn)漏洞，并讓公司負責。漏洞獵手卻不用為漏掉或未能報告漏洞承擔責任。

最重要的是，漏洞賞金計劃作為一項攻擊性策略，從本質(zhì)上就限制了所能檢測的范圍，其他網(wǎng)絡(luò)問題會被忽略是眾所周知的事實。一直依賴漏洞賞金計劃確保自身安全的公司常會遇到嚴重性為1的漏洞。有時候這些計劃會失去焦點，有時候預期投資回報就此成為雞肋，有時候就是單純停止了計劃。或許預算被太多的賞金支出拖垮，而門戶也為漏洞利用大敞。

▶ 賞金增強安全

管理層應(yīng)購入漏洞賞金計劃作為全面安全策略的補充和增強。攻擊性漏洞捕捉和可擴展動態(tài)安全計劃之間的精細調(diào)整，才是一切保持整體平衡的關(guān)鍵。

從法律保護層開始讓公司法律顧問參與計劃審查，確定是否最好與外部律師合作，從而用法律權(quán)利保護公司。然后，確保漏洞賞金計劃和漏洞修復過程步調(diào)一致。有現(xiàn)成的解決方案集成可以幫助達成這一目標。其間共同要素是利益相關(guān)者、業(yè)務(wù)主管和交付資源的協(xié)同，以及確立有效的規(guī)劃和溝通。

漏洞賞金計劃有其自身的位置眾人的目光都集中在改進持續(xù)集成/持續(xù)交付(CI/CD)流水線、DevSecOps和多云環(huán)境軟件開發(fā)生命周期上，我們需要在當今更為復雜的安全計劃中簡化漏洞捕捉工作。