在過(guò)去的一年里，網(wǎng)絡(luò)安全領(lǐng)域的漏洞頻頻攀升至新高峰。安全研究巨頭Qualys在其《2023年網(wǎng)絡(luò)威脅安全回顧》報(bào)告中指出，全球范圍內(nèi)披露的計(jì)算機(jī)漏洞數(shù)量高達(dá)26447個(gè)，這一數(shù)字在歷史橫軸上刻下了新的紀(jì)錄——較之上一年的25050個(gè)漏洞，同比激增了5.2%。

這不斷擴(kuò)張的漏洞披露數(shù)目，背后得益于對(duì)漏洞賞金計(jì)劃的不斷推進(jìn)和完善。隨著賞金激勵(lì)模式的不斷成熟，愈加多的企業(yè)、機(jī)構(gòu)甚至平臺(tái)積極參與其中，攜手眾多安全研究人員，共同挖掘與審核那些隱藏的或潛在的安全威脅，為網(wǎng)絡(luò)世界的安全保駕護(hù)航。

例如，在2023年，美國(guó)國(guó)防部攜手安全界的研究者，推出了備受矚目的第三輪“黑進(jìn)五角大樓”計(jì)劃。同時(shí)，OpenAI亦在同年宣布推出新一輪的漏洞懸賞活動(dòng)。備受贊譽(yù)的漏洞眾測(cè)平臺(tái)HackerOne則在2023年10月公告，自公司創(chuàng)立之初的2012年起，其漏洞賞金計(jì)劃已向全球的白帽黑客以及安全研究人員分發(fā)了超3億美元的獎(jiǎng)金。

回望2022年，白帽黑客通過(guò)漏洞賞金計(jì)劃向谷歌揭示了超2900個(gè)漏洞，為此，谷歌總共支付了逾千二百萬(wàn)美元的懸賞金。在這其中，單一漏洞的獎(jiǎng)金最高飆升至60萬(wàn)美元，折合超400萬(wàn)人民幣，無(wú)疑為漏洞發(fā)現(xiàn)者帶來(lái)了巨額的財(cái)富致富機(jī)遇。打破了過(guò)往漏洞賞金的紀(jì)錄，預(yù)示著安全研究者在此領(lǐng)域的努力與貢獻(xiàn)得到了前所未有的回報(bào)。

漏洞的價(jià)格取決于什么？

關(guān)于漏洞的估價(jià)問(wèn)題，歷來(lái)爭(zhēng)議紛紛，哪怕是全球最受歡迎的漏洞懸賞平臺(tái)發(fā)布的價(jià)格也難免遭人質(zhì)疑，其中蘊(yùn)含的矛盾困境幾乎無(wú)解。決定一個(gè)漏洞的市場(chǎng)價(jià)值的因素何在？

在很多時(shí)候，我們習(xí)慣將漏洞的價(jià)值與其可能引發(fā)的危害和影響視為一體。拿2018年的情形作例，當(dāng)EOS系統(tǒng)被360安全團(tuán)隊(duì)揪出一處被標(biāo)稱價(jià)值百億的安全漏洞時(shí)，整個(gè)業(yè)界為之一震，周鴻祎也公開證實(shí)漏洞的真實(shí)性。那段風(fēng)波過(guò)后，每個(gè)網(wǎng)安人都對(duì)漏洞潛藏的巨大破壞力感到膽戰(zhàn)心驚。

然而，是否真的可以聲稱該漏洞真能享有百億美金的價(jià)標(biāo)？顯然是不可能。即便降至千分之一的估值，亦或許過(guò)于樂(lè)觀，要說(shuō)不及萬(wàn)分之一，則更加切中現(xiàn)實(shí)。漏洞與經(jīng)濟(jì)損失之間并非簡(jiǎn)單的直線關(guān)聯(lián)，黑客的成功在發(fā)現(xiàn)并利用漏洞時(shí)必須跨越重重技術(shù)門檻，其間復(fù)雜度和不確定性并立；如果漏洞始終未覺(jué)，它對(duì)企業(yè)則皆如無(wú)形，無(wú)損企業(yè)資產(chǎn)分毫。

因此，站在企業(yè)的角度，漏洞的價(jià)值是潛在的，而漏洞的價(jià)格是直觀的，兩者之間存在巨大差異。但如果站在攻擊者的角度，假如評(píng)估后發(fā)現(xiàn)，通過(guò)利用漏洞成功竊取價(jià)值數(shù)百億的虛擬貨幣，那么這個(gè)潛在的價(jià)值將會(huì)直觀化，愿意為此付出上億美元的代價(jià)就變的可以理解，此時(shí)漏洞潛在價(jià)值和實(shí)際價(jià)格就可以劃等號(hào)。

對(duì)于漏洞的價(jià)格，站在企業(yè)角度，漏洞價(jià)值計(jì)算往往由企業(yè)在眾測(cè)方向的預(yù)算決定，即成本；對(duì)于網(wǎng)絡(luò)犯罪組織和黑灰產(chǎn)來(lái)說(shuō)，漏洞價(jià)值取決于借此從企業(yè)和機(jī)構(gòu)處獲得的財(cái)富，即潛在收益；站在白帽黑客的角度，漏洞價(jià)值介于兩者之間，認(rèn)為企業(yè)給的錢太少，當(dāng)然不也敢奢求網(wǎng)絡(luò)犯罪組織的價(jià)格。

一個(gè)漏洞值多少錢？這是需求方（企業(yè)、機(jī)構(gòu)），平臺(tái)方（中測(cè)平臺(tái)），提供方（白帽）都必須要深入思考的問(wèn)題。這個(gè)問(wèn)題也在隨著漏洞賞金市場(chǎng)不斷成熟，網(wǎng)絡(luò)犯罪組織趨利性明顯，漏洞潛在威脅日益巨大而處于動(dòng)態(tài)發(fā)展之中。

同時(shí)，影響漏洞賞金的決定因素也是多樣且復(fù)雜。從定義范圍，到建立有吸引力的支付區(qū)間和吸引具有堅(jiān)實(shí)基礎(chǔ)的研究人員積極參與，啟動(dòng)一個(gè)獎(jiǎng)勵(lì)項(xiàng)目會(huì)非常復(fù)雜，且會(huì)隨著項(xiàng)目的進(jìn)程愈趨復(fù)雜。

就目前來(lái)說(shuō)，漏定價(jià)的兩大錨點(diǎn)是漏洞質(zhì)量與市場(chǎng)競(jìng)爭(zhēng)。

1.漏洞質(zhì)量錨定漏洞價(jià)格的下限

無(wú)論外部因素多么復(fù)雜，漏洞的質(zhì)量決定了漏洞價(jià)格的下限，也是影響漏洞價(jià)格最核心的因素。簡(jiǎn)單來(lái)說(shuō)，就算是再差的環(huán)境里，那些嚴(yán)重/高危漏洞依舊具有相當(dāng)可觀的賞金，而哪怕漏洞眾測(cè)獎(jiǎng)勵(lì)的環(huán)境再好，很多低質(zhì)量的漏洞也無(wú)法獲得收益。隨著漏洞眾測(cè)行業(yè)持續(xù)發(fā)展，將會(huì)出現(xiàn)高價(jià)值漏洞愈發(fā)值錢，低價(jià)值漏洞愈發(fā)廉價(jià)的情況。

2.市場(chǎng)競(jìng)爭(zhēng)拉高漏洞價(jià)格的上限

隨著越來(lái)越多的企業(yè)和平臺(tái)參與到漏洞眾測(cè)領(lǐng)域，對(duì)于白帽和漏洞的爭(zhēng)奪戰(zhàn)也隨之打響，漏洞價(jià)格成為核心武器。為了吸引更多白帽的提交漏洞，企業(yè)和眾測(cè)平臺(tái)不得不拉高漏洞的價(jià)格，特別是對(duì)于某些重要的漏洞還會(huì)有額外的獎(jiǎng)勵(lì)?？紤]到不同漏洞對(duì)不同廠商的影響不一，如Clickjacking類型漏洞對(duì)某些企業(yè)來(lái)說(shuō)很嚴(yán)重，但對(duì)其它企業(yè)來(lái)說(shuō)只屬于informative類漏洞，因此漏洞的價(jià)格也是根據(jù)市場(chǎng)情況動(dòng)態(tài)臺(tái)調(diào)整的。

如何計(jì)算漏洞價(jià)格?

漏洞價(jià)格經(jīng)過(guò)了精心的計(jì)算，而不是憑個(gè)人主觀拍腦袋決定，需要考慮的因素包括漏洞嚴(yán)重性、對(duì)最終用戶或客戶的影響范圍、項(xiàng)目預(yù)算、項(xiàng)目階段及保密性、廠商漏洞披露計(jì)劃成熟度等。

舉個(gè)栗子，TikTok此前發(fā)布的漏洞獎(jiǎng)勵(lì)計(jì)劃便是基于CVSS規(guī)范評(píng)估漏洞危害，分為嚴(yán)重、高、中、低四檔，其中低危漏洞獎(jiǎng)金在50-200美元之間，中危漏洞為200-1700美元，高危漏洞為1700-6900美元，嚴(yán)重漏洞為6900-14800美元。

不同的平臺(tái)、不同的時(shí)期，對(duì)于漏洞賞金的計(jì)算方式有所不同，這里分享一個(gè)常見(jiàn)的漏洞賞金計(jì)算公式，主要考慮因素是漏洞的嚴(yán)重程度和影響范圍：

漏洞賞金 = 基礎(chǔ)獎(jiǎng)勵(lì)金額 × 漏洞嚴(yán)重程度系數(shù) × 漏洞影響范圍系數(shù)

• 基礎(chǔ)獎(jiǎng)勵(lì)金額：平臺(tái)為每個(gè)漏洞設(shè)置的基礎(chǔ)獎(jiǎng)勵(lì)金額。這可以是一個(gè)固定值，也可以是一個(gè)范圍?；A(chǔ)獎(jiǎng)勵(lì)金額反映了平臺(tái)對(duì)漏洞的價(jià)值認(rèn)定。
• 漏洞嚴(yán)重程度系數(shù)：平臺(tái)根據(jù)漏洞的嚴(yán)重程度將其分為不同級(jí)別，每個(gè)級(jí)別對(duì)應(yīng)一個(gè)系數(shù)。嚴(yán)重程度系數(shù)用于調(diào)整獎(jiǎng)勵(lì)金額，使其與漏洞的嚴(yán)重程度相匹配。通常，嚴(yán)重程度越高的漏洞，對(duì)應(yīng)的系數(shù)越大，獎(jiǎng)勵(lì)金額越高。
• 漏洞影響范圍系數(shù)：平臺(tái)根據(jù)漏洞的影響范圍和潛在危害程度設(shè)置系數(shù)。影響范圍系數(shù)用于調(diào)整獎(jiǎng)勵(lì)金額，使其與漏洞的影響范圍和潛在危害相匹配。一般來(lái)說(shuō)，影響范圍越廣、潛在危害越大的漏洞，對(duì)應(yīng)的系數(shù)越大，獎(jiǎng)勵(lì)金額越高。

眾測(cè)平臺(tái)賞金金額顯然不止于此，往往還會(huì)設(shè)計(jì)一個(gè)復(fù)雜的獎(jiǎng)勵(lì)公式，以便能夠持續(xù)刺激白帽提交漏洞。對(duì)于比較熱門或迫切的漏洞，眾測(cè)平臺(tái)一般還會(huì)設(shè)置特定的漏洞賞金活動(dòng)，引導(dǎo)白帽力量向某些漏洞領(lǐng)域傾斜。具體的漏洞計(jì)算規(guī)則可以考慮國(guó)內(nèi)主流的漏洞眾測(cè)平臺(tái)——漏洞盒子和補(bǔ)天眾測(cè)，在長(zhǎng)時(shí)間的運(yùn)營(yíng)中他們已經(jīng)積累了大量的運(yùn)營(yíng)經(jīng)驗(yàn)和漏洞評(píng)估技巧。為避免被和諧，本文不分享上述平臺(tái)具體漏洞計(jì)算方式。

我們一起看一下阿里云曾發(fā)布的供應(yīng)鏈漏洞的獎(jiǎng)勵(lì)計(jì)劃。該賞金計(jì)劃是為了更好地保障云上用戶的安全，提升安全防御能力，鼓勵(lì)白帽遵循漏洞披露機(jī)制，向其提交供應(yīng)鏈軟件的安全漏洞情報(bào)信息，具體獎(jiǎng)勵(lì)金額如下：

從上面可以看出，阿里云對(duì)于漏洞的影響范圍提出了要求，即將漏洞影響廠商分為A-F級(jí)，且漏洞獎(jiǎng)勵(lì)標(biāo)準(zhǔn)僅適用于規(guī)定的廠商，至于規(guī)定外的廠商，阿里云會(huì)根據(jù)廠商應(yīng)用流行程度和漏洞影響范圍，酌情給予獎(jiǎng)勵(lì)。

在漏洞嚴(yán)重與緊急程度方面，阿里云依據(jù)CVSS 3.0標(biāo)準(zhǔn)，從攻擊方式（AV）、攻擊復(fù)雜度（AC）、權(quán)限要求（PR）、用戶交互（UI）、影響范圍（S）等多個(gè)方面進(jìn)行計(jì)算，如下：

綜合評(píng)定，漏洞得分劃分為：

• 嚴(yán)重（9.6~10.0）
• 高危（7.0~9.5）
• 中危（4.0~6.9）
• 低危（0.1~3.9）
• 無(wú)效（0.0）

最終按照相應(yīng)的等級(jí)發(fā)放漏洞獎(jiǎng)勵(lì)。

黑市的漏洞價(jià)格非常高

黑市上的漏洞基本集中在那些大威力的0-Day漏洞，其中又以iOS漏洞/安卓漏洞居多。2022年蘋果 iOS 某 0day 漏洞據(jù)說(shuō)售價(jià)高達(dá) 5500 萬(wàn)元。

近十年以來(lái)，世界各地的各種公司一直向安全研究人員提供賞金，鼓勵(lì)出售漏洞和利用這些漏洞的黑客技術(shù)。與HackerOne或Bugcrowd等傳統(tǒng)漏洞賞金平臺(tái)不同，這些漏洞軍火商公司不會(huì)向產(chǎn)品易受攻擊的企業(yè)發(fā)通知，而是將這些漏洞出售給政府客戶。

上圖是漏洞軍火商"Zerodium"發(fā)布的移動(dòng)平臺(tái)漏洞價(jià)目表，可以看到，蘋果iOS系統(tǒng)的RJB Zero Click（零點(diǎn)擊、遠(yuǎn)程、永久越獄）漏洞以150萬(wàn)美金的起步價(jià)格高居榜首。一些常見(jiàn)軟件的漏洞，如Chrome瀏覽器漏洞，價(jià)格在5至15萬(wàn)美元之間，安卓系統(tǒng)漏洞價(jià)格則在1.5萬(wàn)至10萬(wàn)美元之間。

在電腦的桌面系統(tǒng)/服務(wù)器系統(tǒng)上，由于漏洞數(shù)量太多，單個(gè)漏洞價(jià)格相較移動(dòng)平臺(tái)有所降低。其中Windows系統(tǒng)的Win RCE  Zero Click（零點(diǎn)擊、遠(yuǎn)程、代碼執(zhí)行）漏洞以30萬(wàn)美元起步的價(jià)格居于榜首，其價(jià)格會(huì)根據(jù)漏洞的影響范圍而浮動(dòng)。

Zerodium的漏洞收購(gòu)價(jià)取決于被攻擊的軟件或者系統(tǒng)的知名度和安全級(jí)別，以及提交的漏洞質(zhì)量（全鏈或部分鏈、支持的版本/系統(tǒng)/ 架構(gòu)、可靠性、繞過(guò)漏洞利用緩解、默認(rèn)與非默認(rèn)組件、流程延續(xù)等）。

據(jù)谷歌威脅分析小組（TAG）發(fā)布的報(bào)告數(shù)據(jù)顯示，商業(yè)間諜軟件正在持續(xù)購(gòu)買零日漏洞。僅2021年，在TGA跟蹤的九大零日漏洞中，有七個(gè)來(lái)自于漏洞中間商，他們將收購(gòu)的漏洞出售給具有資本或政府支持的組織，賺取巨額利潤(rùn)。

其中就包括有大筆預(yù)算的美國(guó)政府和英國(guó)政府，正如我們所熟知的那一，美國(guó)中央情報(bào)局（CIA）或國(guó)家安全局（NSA）等機(jī)構(gòu)是漏洞購(gòu)買的大客戶。

威脅分析小組正在持續(xù)跟蹤30多家供應(yīng)商，這些廠商的復(fù)雜性不同、公開度各異，但都在向政府支持的黑客出售漏洞。谷歌研究結(jié)果認(rèn)定，以往只有少數(shù)具備技術(shù)專長(zhǎng)的政府才能開發(fā)并實(shí)施漏洞利用，但隨著漏洞供應(yīng)商的崛起，具備這種能力的政府已經(jīng)越來(lái)越多。這不僅會(huì)降低互聯(lián)網(wǎng)安全性，同時(shí)也將威脅用戶所依賴的信任。

需要注意的是，近年來(lái)被用在商業(yè)間諜領(lǐng)域的漏洞價(jià)格正在持續(xù)走高，這與間諜軟件秘密存儲(chǔ)0-Day漏洞的行為密不可分。

NSO的旗艦Pegasus軟件是間諜軟件領(lǐng)域的主要玩家之一，可以遠(yuǎn)程部署到iPhone和安卓設(shè)備上，因此客戶能夠訪問(wèn)目標(biāo)手機(jī)上的數(shù)據(jù)和傳感器。它被以色列政府歸類為武器，其銷售對(duì)象僅限于外國(guó)政府，而不是私人實(shí)體。

它利用零日漏洞在設(shè)備所有者不注意的情況下滲入設(shè)備，一旦潛入了系統(tǒng)，就可以復(fù)制消息、收集照片、記錄通話，甚至通過(guò)攝像頭或麥克風(fēng)秘密錄音。

在被指控其工具被政府和非政府機(jī)構(gòu)濫用以入侵新聞?dòng)浾吆驼缛耸康氖謾C(jī)后，NSO Group遭到了多起訴訟。這家公司表示，其技術(shù)旨在幫助打擊恐怖主義活動(dòng)以及抓捕戀童癖者和犯罪分子。

同樣在持續(xù)走高的還有虛擬貨幣領(lǐng)域的漏洞，當(dāng)一個(gè)漏洞可以隨意操控虛擬貨幣時(shí)，它的價(jià)格將會(huì)以驚人的速度上市。2022 年 在@immunefi 區(qū)塊鏈漏洞獎(jiǎng)金平臺(tái)上，@satya0x 憑借在跨鏈橋 Wormhole 上發(fā)現(xiàn)的一個(gè)漏洞，獲得1000 萬(wàn)美金，價(jià)格高到令人發(fā)指，這是傳統(tǒng)漏洞挖掘領(lǐng)域不可能存在的“天價(jià)”。

你今天挖漏洞了嗎?

當(dāng)我們一直在說(shuō)全球進(jìn)入數(shù)字化轉(zhuǎn)型與數(shù)字經(jīng)濟(jì)之中時(shí)，卻未曾發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞正在以一種可怕的速度增長(zhǎng)，危害性越來(lái)越高，和普通人的生活越來(lái)越近，物聯(lián)網(wǎng)/數(shù)字化/智能化等趨勢(shì)正在讓漏洞的威力成倍增加。

對(duì)于漏洞的懸賞也在持續(xù)增加。獎(jiǎng)金數(shù)額的提升和范圍擴(kuò)大皆能表明，廠商們已然意識(shí)到了漏洞對(duì)安全的重要性。還需要注意的是，很多關(guān)鍵性的漏洞已經(jīng)成為網(wǎng)絡(luò)攻防戰(zhàn)的關(guān)鍵，在地緣政治博弈的全球背景下，漏洞已經(jīng)是一種戰(zhàn)略資源。

所以，你今天挖漏洞了嗎?