411ad93b02baf02b6dacb1a87c269e5d

雖然Gartner沒有專門為漏洞賞金或眾包安全測試繪制魔力象限,但Gartner Peer Insights列出了24家“應用眾包測試服務”類供應商。

如果想增強公司現有軟件測試武器庫,納入全球安全研究人員的知識和專業技能,那您不妨看看下列5個極具前景的漏洞賞金平臺。

1. HackerOne

網址:https://www.hackerone.com/

作為背后站著眾多著名風險資本家的獨角獸公司,HackerOne可能是全世界知名度最高、最受認同的漏洞賞金品牌了。

其最近的年報顯示,超過1700家公司信任HackerOne平臺,放心依托HackerOne增強自身內部應用安全測試能力。報告還宣稱,HackerOne的安全研究人員僅2019年一年就掙到了約4000萬美元賞金,累積賞金數額更是高達8200萬美元。

HackerOne的名聲還來自于托管美國政府漏洞賞金計劃,包括美國國防部和美國陸軍的漏洞披露計劃。與其他一些漏洞賞金計劃和漏洞披露計劃(VDP)類似,HackerOne如今還提供依托全球資深安全研究人員的滲透測試服務。HackerOne的安全認證十分完備,包括ISO 27001和FedRAMP授權。

2. BugCrowd

網址:https://www.bugcrowd.com/

網絡安全專家Casey Ellis創立的BugCrowd可能是最具創新性的漏洞賞金平臺了。BugCrowd不僅積極推動傳統眾包安全測試服務,還倡導攻擊界面管理和針對物聯網、API甚至網絡的一系列滲透測試服務,在快速成長的眾包安全市場上領先其他競爭對手。

BugCrowd還適度推廣各種軟件開發生命周期(SDLC)集成功能,方便客戶高效整合和推動DevSecOps工作流。

Amazon、VISA、eBay等行業巨頭,以及備受尊崇的(ISC)2 網絡安全教育協會都將漏洞賞金計劃交托給BugCrowd。很多安全研究新手也因BugCrowd大學、持續不斷的安全網絡研討會和培訓而熟知BugCrowd。這個創新平臺將其客戶的研究人員有機結合了起來。

3. OpenBugBounty

網址:https://www.openbugbounty.org/

在我們的名單上,飛速發展的OpenBugBounty項目是僅有的一個非營利性漏洞披露和漏洞賞金平臺。Alexa排名顯示,OpenBugBounty即將成功超越其絕大多數商業競爭對手。

依托1200多個活躍漏洞賞金計劃,如果漏洞經由非侵入式方法檢測,OpenBugBounty還允許在任意網站上協同披露這些漏洞。在OpenBugBounty上創建漏洞賞金計劃是完全免費的,無需支付研究人員酬金,但鼓勵至少感謝研究人員的付出,并公開推薦他們。

OpenBugBounty為奧地利電信A1和Drupal等公司托管漏洞賞金計劃,有2萬多名安全研究人員投身其中,截至目前提交了近80萬個安全漏洞。該平臺表示,其策略和披露流程遵循ISO 29147標準。

OpenBugBounty還與各國CERT(計算機應急響應小組)和執法機構合作,為他們提供免費API接入平臺,同時在研究人員公開披露其漏洞發現之前保密漏洞詳情。

4. SynAck

網址:https://www.synack.com/

背靠英特爾投資部和凱鵬華盈(Kleiner Perkins)等多家知名風險投資基金,2015年到2019年,SynAck四度蟬聯CNBC(美國消費者新聞與商業頻道)“顛覆者”稱號。SynAck處于商業漏洞賞金平臺頂部,也入選了Gartner企業軟件初創公司Top 25。

SynAck由安全遠見者、前美國國家安全機構雇員Jay Kaplan和Mark Kuhr聯合創立,提供經全面審核的網絡安全研究人員組成的精英團隊“紅隊”(SRT)。SynAck表示,SRT小組的安全專家背景清晰,行業經驗豐富。

由于對紅隊成員進行詳盡全面的盡職審查,并記錄其全部活動供未來分析或審核,SynAck成功躋身可信眾包安全測試服務領頭羊之列。而且,SynAck還與行業領導者建立了合作伙伴關系和技術聯盟,包括微軟、AWS和HPE,表現出了強勁的成長潛力。

5. YesWeHack

網址:https://www.yeswehack.com/

YesWeHack是2021年的新星。作為歐洲漏洞賞金和漏洞披露公司之一,YesWeHack成功吸引了注重嚴格隱私與保護數據防護的歐盟公司企業。最近,YesWeHack宣布2020年在亞洲錄得破紀錄的250%增長率,證明了歐洲初創公司全球擴張的能力。

與BugCrowd類似,YesWeHack也做好了投資人才的準備。去年,YesWeHack啟動培訓項目,幫助漏洞賞金獵人借助YesWeHack DOJO平臺磨練黑客技術。該項目提供入門級課程和專注特定安全漏洞的培訓關卡,以及施展身手的訓練環境。

全世界的安全研究人員都可以借助DOJO平臺磨礪其軟件安全測試技術。最后,YesWeHack還展現了吸引法國OVH集團等著名歐洲客戶的能力。

除了上述五大漏洞賞金平臺,市場上還有其他很多獨特而杰出的平臺,比如身為歐洲主流道德黑客網絡之一的Intigriti。

漏洞賞金計劃已開始從純眾包安全測試向綜合網絡安全平臺轉型,提供經典滲透測試和大量其他服務。我們目前很難預測漏洞賞金平臺相對于傳統托管安全服務提供商(MSSP)和網絡安全供應商到底有多成功,但是,漏洞賞金無疑開創了極具潛力的新型市場定位。

正如幾十年前開源Linux撼動微軟商業閉源操作系統,隨后誕生數十億美元Red Hat業務,開放自由的OpenBugBounty項目正促進漏洞賞金計劃不斷成熟。

這標志著漏洞賞金市場在逐步壯大,變得更具競爭力,越來越多的新玩家不斷投身其中。我們可以預計,未來將有更多風險資本加入,會出現更多并購交易,推動眾包安全市場繼續擴張。

來源:數世咨詢