漏洞市場賞金持續飆升 但只屬于 1% 的挖漏洞精英
責編:gltian |2019-09-05 15:51:07如今,一個關鍵漏洞的平均支出幾乎已經達到了 3400 美元,但在這個 50 萬人參與的漏洞市場中,通常只有極少數頂尖級的漏洞獵手能夠真正獲利。
根據安全項目管理公司 HackerOne 的說法,隨著越來越多的公司參與眾包挑戰,以吸引具有安全意識的自由職業者和道德黑客分析他們的代碼,漏洞賞金也隨之不斷飆升,但真正獲利的機會通常只屬于極少數的參與者。
在其最新發布的年度《黑客驅動的安全報告》(Hacker-Powered Security Report) 中,HackerOne 公司發現,漏洞懸賞項目發起公司支付給關鍵漏洞發現者的平均賞金已經飆升至 3,384 美元/個,比前一年的平均水平增加了 48%,而加密貨幣和區塊鏈公司支付的賞金水平最高——平均達到了 6,124 美元。在過去的12個月中,HackerOne 平臺的客戶共接收到了超過 30,000 個安全問題,這些客戶共計向漏洞研究人員提供了超過 2100 萬美元的賞金。
HackerOne 公司首席執行官 Marten Mickos 表示,雖然目前已經有超過 50 萬黑客注冊了 HackerOne 管理的漏洞挑戰項目,但是只有大約 5,000 名黑客真正做出了成績。換句話說,在這個 50 萬人的漏洞市場中,真正獲利的賞金獵人只占據大約 1% 而已。
我們擁有一個超過 50 萬人的巨大黑客社區,他們參與其中并努力地嘗試和競爭。最終,只有極少數的人能夠攀至頂峰,收獲成功,這就是現實也是競爭的意義所在。
該報告還強調稱,作為一種捕獲產品和服務漏洞的方法,漏洞懸賞模型無疑是成功的。根據每個公司的統計數據顯示,超過 1,400 個企業組織使用了 HackerOne 的服務,以及 1,200 個企業組織使用了競爭對手 Bugcrowd 的眾包安全服務。其中,超過 1/4 的 HackerOne 項目用于互聯網和在線服務領域,還有另外 20% 由計算機軟件公司組成。此外,金融服務和媒體公司也是重要的組成部分——每個都占據市場超出 7% 的份額。
然而,對于絕大多數感興趣的研究人員來說,該競賽模型并沒有發揮作用。對于 HackerOne 平臺的 50 多萬名注冊者來說,只有極少數頂級漏洞獵手能夠真正獲利——調查顯示,只有 6 名參與者在 HackerOne 平臺上賺取了超過 100 萬美元,另外 7 名參與者的終身收入超過了 50 萬美元——這些人顯然只占據了 HackerOne 平臺注冊者的極小一部分。
Mickos 還將漏洞市場中的這種競爭現象與成為好萊塢電影明星或籃球專業人士的競爭現象進行了比較。
每個人放學后都會打籃球,但并非每個人都能打進 NBA 成為 MVP。我們需要在最廣泛的社區中尋找真正具備好奇心、能力、興趣和成功潛力的極少數特殊個體。
漏洞賞金的整體水平上漲并不令人意外。眾包安全公司 Bugcrowd 在其最新發布的報告中指出,通過自己的漏洞懸賞項目支付安全問題的支出增加了 83%,其中,關鍵漏洞的獎勵增加了 27%,達到了 2,670 美元。報告還指出,“最大方” 的漏洞懸賞項目發布者為物聯網制造商,其關鍵漏洞的平均賞金高達 8,556 美元。
HackerOne 和 Bugcrowd 表示,漏洞賞金飆升的原因在于公司需要支付更多才能挖掘到更多難度級別更高的漏洞。
Bugcrowd 在其 Priority One 報告中指出,根據數據顯示,在 2018 年頂級 VRT(漏洞評級分類)中,5 個類別中的 4 個均是有關任何設備都難以找到的漏洞。這無疑證明,如今的漏洞挖掘難度正在進一步增大。
最近,微軟和谷歌紛紛提高了自己的賞金額度。以谷歌公司為例,谷歌自 2010 年起就創建了 “Chrome漏洞獎勵計劃”,并且已收到 8500 多份有參考價值的漏洞報告,為此谷歌支付了超過 500 萬美元的獎金。
今年 7 月,為強化谷歌瀏覽器的安全性,谷歌宣布提高研究人員報告谷歌瀏覽器安全漏洞的賞金額度。在此次頒布的獎勵辦法中,Windows 7/8.1/10、macOS 10.10+、Linux、Android 4.4+、iOS 7+ 系統上的谷歌瀏覽器,以及最新版本的 Chrome OS 系統,都會參加。研究人員只要能夠找到有價值的安全漏洞就能獲得獎勵,并且價值越大,獎勵越高。
其中,獎勵最高的是沙盒逃逸、非沙盒線程內存異常,若能找到相關的漏洞,就能獲得至少 5000 美元至 15000 美元不等的獎金,并且高價值的漏洞報告可獲 20000 美元獎金。
除此之外,今年早些時候,知名漏洞交易平臺 Zerodium(收購零日漏洞并將其出售給政府機構和執法部門)也更新了其對 0Day 漏洞的相關報價,以激勵更多人向他們提交發現的漏洞。Zerodium 官方稱,對符合條件的 0Day 漏洞的賠償從 2000 美元到 200 萬美元(主要為針對 Apple iOS 操作系統的零日漏洞)不等。
毫無疑問,這些獎勵只是為了找到最有利可圖的漏洞。然而,在 HackerOne 項目中發現的問題只有 7% 是至關重要的,另外 18% 被認為是嚴重程度較高的問題。據大多數漏洞 (75%) 的嚴重程度為 “中危” 或 “低危” 級別。雖然 HackerOne 平臺的平均獎金在過去 12 個月中上漲了 65%,但發現這些漏洞的利潤卻遠低于此。
調查還發現,支付賞金最高的 4 大行業分別是加密貨幣和區塊鏈公司——為關鍵漏洞支付 6,124 美元;互聯網和在線服務公司——為關鍵漏洞支付 4,973 美元;航天航空公司——為關鍵漏洞支付 4,500 美元;以及電子和半導體公司——為關鍵漏洞支付 4,398 美元。
雖然大多數漏洞的獎勵仍然很低,但是漏洞懸賞競賽的吸引力就在于盡可能吸引更多的人才在網絡安全方面發揮重要作用,因為網絡安全領域確實需要更多的人員參與。
在這 50 萬人的漏洞市場中,可能有 50,000 人將需要黑客攻擊,可能會有 5,000 將成為安全專業人員,也可能其中有 500 人會最終發展成為首席信息安全官。好消息是,這些都是自發完成的,我們通過越來越多極具吸引力的項目和金額讓年輕人加入我們的隊伍中學習,以推動該過程的實現。
下一篇:“零信任”的真相