【51CTO.com快譯】許多公司明白，漏洞懸賞計劃只是做好安全工作的一方面。

軟件漏洞懸賞是一門大生意，越來越多的公司向在其操作系統、代碼或應用程序中發現錯誤的研究人員、開發人員和黑客給予大量獎金。好處很明顯：搶在惡意組織或公眾之前發現漏洞，并進行適當的修復。

[[285481]]

整個夏天，蘋果宣布向發現iPhone安全漏洞的研究人員提供最高100萬美元的賞金。以前，蘋果僅向試圖找出電話和云備份漏洞的受邀研究人員提供獎勵，而現在人人可以參與。

現在許多大公司設有漏洞懸賞計劃，包括蘋果、谷歌、Facebook、雅虎、微軟甚至美國國防部。

然而安全觀察人士稱，漏洞懸賞計劃并不總是萬靈藥，企業組織不該以為實施懸賞計劃就意味著在保護組織方面已做好了摸底工作。

企業戰略集團(ESG)的網絡安全服務首席分析師Christina Richmond說：“企業組織是不是提供了漏洞懸賞計劃就不用操心其他呢?答案是否定的。”除了提供懸賞找出安全漏洞外，企業組織還應盡可能頻繁地執行持續測試、漏洞掃描和滲透測試。

不光光依賴漏洞懸賞的原因之一是懸賞獵人的誠信。企業并不總是知道與自己打交道的是使用合法手段搜索、查找和披露漏洞的“白帽”或道德黑客，還是不懷好意、企圖闖入網絡或系統的“黑帽”黑客。

ESG在2019年夏季對220名安全專業人員進行了一次調查，結果發現近四分之一(23%)的受訪者表示，他們在使用漏洞懸賞之類的眾包安全服務。調查發現，大多數使用眾包安全的人認為，眾包安全利用白帽安全研究人員來發現并消除這幾個最嚴重的攻擊途徑存在的漏洞：服務器/云、移動和物聯網等平臺上的Web和應用編程接口。

尋找漏洞的成本

懸賞獵人的要價不低。HackerOne網絡安全公司運營的非營利組織Hactivity稱，向成功的漏洞發現者支付的費用在500美元至50000美元之間，數額視軟件安全漏洞的級別而定。

Kevin Curran是北愛爾蘭阿爾斯特大學的網絡安全教授，也是該大學法律創新中心的執行聯合主任，兼環境情報和虛擬世界研究組織的負責人。還是IEEE資深會員的他說：“主要的問題是成本。想運作成功的漏洞懸賞計劃，需要開出頗有競爭力的價碼。不然，漏洞有可能被黑客搞到手。”

Curran稱，另一個問題是很難找到合格的安全專業人員來參與這些計劃。此外，還可能將時間浪費在了并未發現任何漏洞的漏洞懸賞上。

Luta Security的創始人兼首席執行官Katie Moussouris建議，在公司試圖充分利用漏洞懸賞計劃之前，應先聘請內部人員或安全顧問，因為一些漏洞很常見且很容易找到。雖然她認為漏洞懸賞計劃有其價值，但它們本身不是適當的風險管理。

Moussouris說：“大多數組織自己就能發現漏洞懸賞計劃針對的大多數漏洞，如果它們可以填補所有空位，因為某些類型的漏洞很容易識別。”

這類計劃也沒有獲得顯著成效。據從事漏洞情報、泄密數據和風險評級的公司RiskBased Security聲稱，2018年的公開漏洞中近8%是通過漏洞懸賞計劃發現的，而2017年僅為5.8%。

不過，漏洞懸賞的人氣持續上升。300000多名黑客已在HackerOne上報名成為了賞金獵人。此外ESG調查發現，88%的受訪者認為漏洞懸賞服務提供了“經過高度審查的、可信賴的安全研究人員。”

安全方面面面俱到

一家公司想確保自己在安全方面面面俱到，應該制定安全規章，并進行自動安全掃描和某種類型的滲透測試。

Moussouris說：“一支運作良好的安全團隊若積極主動地預防、發現和修復‘易于發現’的漏洞，能夠從針對更棘手問題的漏洞懸賞中受益。”

Richmond也表示：“我喜歡擴大范圍……無論是依賴人的測試(比如漏洞懸賞)，還是泄密和攻擊模擬。”ESG主張采用它所謂的持續自動滲透和攻擊測試(CAPAT)這項技術。

利用漏洞懸賞時，公司應明確其目標。Curran說：“漏洞懸賞在一些方面會有所不同，因此公司應概述他們希望賞金獵人關注的方面，比如硬件、網絡、Web API或數據庫后端。”

Curran稱，向漏洞懸賞計劃上報的高價值安全漏洞中許多是由參與這些計劃的一小部分人發現的。不過他認為，使用漏洞懸賞計劃最終對所有愿意掏錢的“專業公司”來說必不可少。

他說：“簡單的回答是，漏洞懸賞計劃物有所值，可能在任何情況下都是如此。”

原文標題：Bug Bounties: Big Business，作者：Esther Shein

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】