漏洞市场赏金持续飙升 但只属于 1% 的挖漏洞精英

如今,一个关键漏洞的平均支出几乎已经达到了 3400 美元,但在这个 50 万人参与的漏洞市场中,通常只有极少数顶尖级的漏洞猎手能够真正获利。

根据安全项目管理公司 HackerOne 的说法,随着越来越多的公司参与众包挑战,以吸引具有安全意识的自由职业者和道德黑客分析他们的代码,漏洞赏金也随之不断飙升,但真正获利的机会通常只属于极少数的参与者。

在其最新发布的年度《黑客驱动的安全报告》(Hacker-Powered Security Report) 中,HackerOne 公司发现,漏洞悬赏项目发起公司支付给关键漏洞发现者的平均赏金已经飙升至 3,384 美元/个,比前一年的平均水平增加了 48%,而加密货币和区块链公司支付的赏金水平最高——平均达到了 6,124 美元。在过去的12个月中,HackerOne 平台的客户共接收到了超过 30,000 个安全问题,这些客户共计向漏洞研究人员提供了超过 2100 万美元的赏金。

HackerOne 公司首席执行官 Marten Mickos 表示,虽然目前已经有超过 50 万黑客注册了 HackerOne 管理的漏洞挑战项目,但是只有大约 5,000 名黑客真正做出了成绩。换句话说,在这个 50 万人的漏洞市场中,真正获利的赏金猎人只占据大约 1% 而已。

我们拥有一个超过 50 万人的巨大黑客社区,他们参与其中并努力地尝试和竞争。最终,只有极少数的人能够攀至顶峰,收获成功,这就是现实也是竞争的意义所在。

该报告还强调称,作为一种捕获产品和服务漏洞的方法,漏洞悬赏模型无疑是成功的。根据每个公司的统计数据显示,超过 1,400 个企业组织使用了 HackerOne 的服务,以及 1,200 个企业组织使用了竞争对手 Bugcrowd 的众包安全服务。其中,超过 1/4 的 HackerOne 项目用于互联网和在线服务领域,还有另外 20% 由计算机软件公司组成。此外,金融服务和媒体公司也是重要的组成部分——每个都占据市场超出 7% 的份额。

然而,对于绝大多数感兴趣的研究人员来说,该竞赛模型并没有发挥作用。对于 HackerOne 平台的 50 多万名注册者来说,只有极少数顶级漏洞猎手能够真正获利——调查显示,只有 6 名参与者在 HackerOne 平台上赚取了超过 100 万美元,另外 7 名参与者的终身收入超过了 50 万美元——这些人显然只占据了 HackerOne 平台注册者的极小一部分。

Mickos 还将漏洞市场中的这种竞争现象与成为好莱坞电影明星或篮球专业人士的竞争现象进行了比较。

每个人放学后都会打篮球,但并非每个人都能打进 NBA 成为 MVP。我们需要在最广泛的社区中寻找真正具备好奇心、能力、兴趣和成功潜力的极少数特殊个体。

漏洞赏金的整体水平上涨并不令人意外。众包安全公司 Bugcrowd 在其最新发布的报告中指出,通过自己的漏洞悬赏项目支付安全问题的支出增加了 83%,其中,关键漏洞的奖励增加了 27%,达到了 2,670 美元。报告还指出,“最大方” 的漏洞悬赏项目发布者为物联网制造商,其关键漏洞的平均赏金高达 8,556 美元。

HackerOne 和 Bugcrowd 表示,漏洞赏金飙升的原因在于公司需要支付更多才能挖掘到更多难度级别更高的漏洞。

Bugcrowd 在其 Priority One 报告中指出,根据数据显示,在 2018 年顶级 VRT(漏洞评级分类)中,5 个类别中的 4 个均是有关任何设备都难以找到的漏洞。这无疑证明,如今的漏洞挖掘难度正在进一步增大。

最近,微软和谷歌纷纷提高了自己的赏金额度。以谷歌公司为例,谷歌自 2010 年起就创建了 “Chrome漏洞奖励计划”,并且已收到 8500 多份有参考价值的漏洞报告,为此谷歌支付了超过 500 万美元的奖金。

今年 7 月,为强化谷歌浏览器的安全性,谷歌宣布提高研究人员报告谷歌浏览器安全漏洞的赏金额度。在此次颁布的奖励办法中,Windows 7/8.1/10、macOS 10.10+、Linux、Android 4.4+、iOS 7+ 系统上的谷歌浏览器,以及最新版本的 Chrome OS 系统,都会参加。研究人员只要能够找到有价值的安全漏洞就能获得奖励,并且价值越大,奖励越高。

其中,奖励最高的是沙盒逃逸、非沙盒线程内存异常,若能找到相关的漏洞,就能获得至少 5000 美元至 15000 美元不等的奖金,并且高价值的漏洞报告可获 20000 美元奖金。

除此之外,今年早些时候,知名漏洞交易平台 Zerodium(收购零日漏洞并将其出售给政府机构和执法部门)也更新了其对 0Day 漏洞的相关报价,以激励更多人向他们提交发现的漏洞。Zerodium 官方称,对符合条件的 0Day 漏洞的赔偿从 2000 美元到 200 万美元(主要为针对 Apple iOS 操作系统的零日漏洞)不等。

毫无疑问,这些奖励只是为了找到最有利可图的漏洞。然而,在 HackerOne 项目中发现的问题只有 7% 是至关重要的,另外 18% 被认为是严重程度较高的问题。据大多数漏洞 (75%) 的严重程度为 “中危” 或 “低危” 级别。虽然 HackerOne 平台的平均奖金在过去 12 个月中上涨了 65%,但发现这些漏洞的利润却远低于此。

调查还发现,支付赏金最高的 4 大行业分别是加密货币和区块链公司——为关键漏洞支付 6,124 美元;互联网和在线服务公司——为关键漏洞支付 4,973 美元;航天航空公司——为关键漏洞支付 4,500 美元;以及电子和半导体公司——为关键漏洞支付 4,398 美元。

虽然大多数漏洞的奖励仍然很低,但是漏洞悬赏竞赛的吸引力就在于尽可能吸引更多的人才在网络安全方面发挥重要作用,因为网络安全领域确实需要更多的人员参与。

在这 50 万人的漏洞市场中,可能有 50,000 人将需要黑客攻击,可能会有 5,000 将成为安全专业人员,也可能其中有 500 人会最终发展成为首席信息安全官。好消息是,这些都是自发完成的,我们通过越来越多极具吸引力的项目和金额让年轻人加入我们的队伍中学习,以推动该过程的实现。

上一篇:神秘 iOS 攻击颠覆了对入侵苹果手机的认知

下一篇:“零信任”的真相