【51CTO.com快译】许多公司明白,漏洞悬赏计划只是做好安全工作的一方面。
软件漏洞悬赏是一门大生意,越来越多的公司向在其操作系统、代码或应用程序中发现错误的研究人员、开发人员和黑客给予大量奖金。好处很明显:抢在恶意组织或公众之前发现漏洞,并进行适当的修复。
整个夏天,苹果宣布向发现iPhone安全漏洞的研究人员提供最高100万美元的赏金。以前,苹果仅向试图找出电话和云备份漏洞的受邀研究人员提供奖励,而现在人人可以参与。
现在许多大公司设有漏洞悬赏计划,包括苹果、谷歌、Facebook、雅虎、微软甚至美国国防部。
然而安全观察人士称,漏洞悬赏计划并不总是万灵药,企业组织不该以为实施悬赏计划就意味着在保护组织方面已做好了摸底工作。
企业战略集团(ESG)的网络安全服务首席分析师Christina Richmond说:“企业组织是不是提供了漏洞悬赏计划就不用操心其他呢?答案是否定的。”除了提供悬赏找出安全漏洞外,企业组织还应尽可能频繁地执行持续测试、漏洞扫描和渗透测试。
不光光依赖漏洞悬赏的原因之一是悬赏猎人的诚信。企业并不总是知道与自己打交道的是使用合法手段搜索、查找和披露漏洞的“白帽”或道德黑客,还是不怀好意、企图闯入网络或系统的“黑帽”黑客。
ESG在2019年夏季对220名安全专业人员进行了一次调查,结果发现近四分之一(23%)的受访者表示,他们在使用漏洞悬赏之类的众包安全服务。调查发现,大多数使用众包安全的人认为,众包安全利用白帽安全研究人员来发现并消除这几个最严重的攻击途径存在的漏洞:服务器/云、移动和物联网等平台上的Web和应用编程接口。
寻找漏洞的成本
悬赏猎人的要价不低。HackerOne网络安全公司运营的非营利组织Hactivity称,向成功的漏洞发现者支付的费用在500美元至50000美元之间,数额视软件安全漏洞的级别而定。
Kevin Curran是北爱尔兰阿尔斯特大学的网络安全教授,也是该大学法律创新中心的执行联合主任,兼环境情报和虚拟世界研究组织的负责人。还是IEEE资深会员的他说:“主要的问题是成本。想运作成功的漏洞悬赏计划,需要开出颇有竞争力的价码。不然,漏洞有可能被黑客搞到手。”
Curran称,另一个问题是很难找到合格的安全专业人员来参与这些计划。此外,还可能将时间浪费在了并未发现任何漏洞的漏洞悬赏上。
Luta Security的创始人兼首席执行官Katie Moussouris建议,在公司试图充分利用漏洞悬赏计划之前,应先聘请内部人员或安全顾问,因为一些漏洞很常见且很容易找到。虽然她认为漏洞悬赏计划有其价值,但它们本身不是适当的风险管理。
Moussouris说:“大多数组织自己就能发现漏洞悬赏计划针对的大多数漏洞,如果它们可以填补所有空位,因为某些类型的漏洞很容易识别。”
这类计划也没有获得显著成效。据从事漏洞情报、泄密数据和风险评级的公司RiskBased Security声称,2018年的公开漏洞中近8%是通过漏洞悬赏计划发现的,而2017年仅为5.8%。
不过,漏洞悬赏的人气持续上升。300000多名黑客已在HackerOne上报名成为了赏金猎人。此外ESG调查发现,88%的受访者认为漏洞悬赏服务提供了“经过高度审查的、可信赖的安全研究人员。”
安全方面面面俱到
一家公司想确保自己在安全方面面面俱到,应该制定安全规章,并进行自动安全扫描和某种类型的渗透测试。
Moussouris说:“一支运作良好的安全团队若积极主动地预防、发现和修复‘易于发现’的漏洞,能够从针对更棘手问题的漏洞悬赏中受益。”
Richmond也表示:“我喜欢扩大范围……无论是依赖人的测试(比如漏洞悬赏),还是泄密和攻击模拟。”ESG主张采用它所谓的持续自动渗透和攻击测试(CAPAT)这项技术。
利用漏洞悬赏时,公司应明确其目标。Curran说:“漏洞悬赏在一些方面会有所不同,因此公司应概述他们希望赏金猎人关注的方面,比如硬件、网络、Web API或数据库后端。”
Curran称,向漏洞悬赏计划上报的高价值安全漏洞中许多是由参与这些计划的一小部分人发现的。不过他认为,使用漏洞悬赏计划最终对所有愿意掏钱的“专业公司”来说必不可少。
他说:“简单的回答是,漏洞悬赏计划物有所值,可能在任何情况下都是如此。”
原文标题:Bug Bounties: Big Business,作者:Esther Shein
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】