实战：如何启动自己的漏洞赏金项目？

系统当中始终存在着代码漏洞以及诱发黑客入侵的可乘之机。既然如此，为什么不利用黑客的力量查找并修复这些问题？

网络安全行业当中存在的严重技能短缺问题早已不是什么秘密。参考任何一份来自安全行业的人才调查报告，惟一的结论性区别就是这种短缺的具体水平。根据去年的《全球信息安全人力资源研究》（简称GISWS）报告所言，到2022年全球安全人才缺口预计将达到180万——比2015年增长20%。

克服这种持续性网络技能短缺问题的办法之一，在于以补充性方式将更多外部安全人员引入流程当中。目前，HackeOne、Bugcrowd以及Synackare等多家企业都在提供黑客社区，客户能够在这里以外包形式测试自己的系统，而黑客们则上报调查结果以换取现金奖励。

然而，这样的Bug赏金计划到底该如何启动，我们又该从哪里入手？

第一阶段：建立漏洞披露计划

在第一阶段当中，您可以单纯建立起漏洞披露计划（简称VDP）。在官方渗透测试或Bug赏金计划的范围之外，一直有不少黑客机构以灰色地带的形式存在——其出发点包括学术性研究或者利他主义取向。而包括普华永道、FireEye、思科以及DJI等在内的不少企业已经开始对发现漏洞的人采取法律行动。

Michiel Prins当初之所以要建立HackerOne，主要原因之一就在于这一领域缺乏必要的明确性与安全性。“当时我一直在从事渗透测试的相关工作，并注意到尽管出发点是好的，但技术人员实际上很难向相关企业上报与漏洞相关的信息。没有人会告知该如何与安全团队取得联系，此外这种上报行为本身也可能带来风险。我们永远不知道接下来会发生什么：他们会着手解决问题，还是派律师找上门来？即使出发点是好的，我们仍然无法准确估计结果。”

根据HackerOne公司的《2018年黑客报告》所言，25%的受访者表示由于相关企业并没有建立漏洞披露计划，因此其无法为其提供与安全漏洞相关的信息。但在另一方面，恶意黑客则并不担心自己遭到任何打击报复。报告同时指出，福布斯全球两千强企业当中有94%不具备漏洞披露计划，但受访黑客中则有72%表示在过去12个月当中，企业接受漏洞信息时的态度已经变得更加开放。

通过建立漏洞披露计划，大家可以建立渠道以允许黑客报告错误、无需担心报复，同时制定流程以解决相关安全问题。Dropbox公司已经发布了其它企业可复制使用的模板，旨在确保向受影响企业上报漏洞时，各方皆对自身权益拥有明确的理解。

在第一阶段内，您的工作主要是理解Bug赏金概念，且一般还无法获得真正的收益。

第二阶段：启动小型内部Bug赏金计划

在建立漏洞披露计划之后，大家应该启动一个小型内部Bug赏金计划。在这一受控计划当中，HackerOne与Bugcrowd等公司会选择一小组拥有良好风评的黑客参与其中。通过这种方式，您不会因提交内容过多而手忙脚乱，同时亦可打消最初的疑虑并建立起可切实处理漏洞问题的稳定工作流程。

HackerOne公司的Prins解释称，“这时，企业可以开始考虑以财务激励的方式以吸引更多黑客加入进来，并真正允许对方深入挖掘自己的系统。这是一种非常自然的推进方式。”

一旦企业进入第二阶段，那么设定正确的赏金价值就变得非常重要。Bugcrowd公司CSO David Baker表示：“在正式着手调查之前，黑客们当然希望了解一项bug到底值多少钱。调整支付金额能够让研究人员更合理地分配时间，并帮助企业一方建立起正确的预算计划。”

HackerOne公司给出的最低报酬建议为100美元，而平均报酬则为500美元。英特尔与微软等巨头企业甚至为高危安全漏洞提供超过20万美元的奖励数额。

软件库初创企业GitHub公司正是采用这种模式的先驱之一，该公司自2014年以来一直在推行Bug赏金计划。GitHub对安全漏洞的奖励范围介于555美元到2万美元之间。2014年，该公司核定并奖励了57份上报意见，奖金总额为50100美元。2015年，核定的意见书总计102份，奖金总额则为81700美元。到2017年，核定的意见书总计达到121份，资金总额亦增长至16万6495美元。其中涵盖的安全漏洞既包括轻微的信息泄露，也包括更严重的授权绕过问题以及注入漏洞。

尽管企业可以选择运行自己的独立项目，但开放性项目能够吸引更多黑客参与者，而这些中间平台也能够为整个实施流程带来更理想的规模化与标准化效应，同时帮助管理项目事务。Bugcrowd公司的Backer指出，“大部分自主建立的项目最终都停滞不前，且研究人员因信心不足以最终选择放弃。”Bugcrowd等公司正是为了解决这些问题而存在。

如何应对规模化漏洞披露带来的挑战

目前，企业面临的一大共通性挑战，在于Bug赏金计划所带来的规模化难题。对于习惯了静态以及低频率渗透测试报告的企业而言，其往往会被持续涌入的漏洞报告所快速吞没。

Prins表示：“我们的大部分客户都希望建立起一个完全公开且面向所有人开放的Bug赏金计划。但这绝非一日之功，因为只要打开闸门并设置有吸引力的奖励，大量报告与需要修复的漏洞都将快速涌入，其规模可能远超大家的实际应用能力。”

他同时指出，Bug赏金计划的主要工作实际上在于对提交的报告进行分析与验证、检查所宣称的漏洞是否已经被报告过、检查报告的准确性并评估漏洞严重性。

GitHub公司的应用安全团队会审查提交内容、尝试重现问题并确定各应用程序或用户所面临的相关风险。GitHub公司应用安全经理Greg Ose表示，“在提交内容通过验证之后，我们会发布对应问题（即bug追踪标签）并将其分配给相关工程技术团队，以便他们能够优先考虑并修复潜在问题。此后，我们将与开发人员合作，确保问题得到妥善解决，同时保证应用程序内的其它部分不存在类似的问题。”

Ose解释称，尽管有“相当长的时间”都会被投入到提交内容的回复与调查当中，而且他们仍然需要向提交者作出较为及时的响应。该公司会对常见的低风险提交内容作出批量回复，旨在帮助研究人员理解当前情况，并确保以一致性方式传递消息并快速解决常见问题。“虽然确实利大于弊，但Bug赏金计划仍然需要投入巨大的努力才能顺利运行并获得成功。”

GitHub公司在2017年共收到840份提交意见，而Ose表示其已经成功扩展了项目规模以跟上意见书的增长速度。

如何审核道德黑客并克服沉默问题

虽然有调查显示，损害六成企业已经或即将聘请黑客以帮助解决安全问题，但亦有很多公司出于自尊心的考量而不愿邀请他人对自己的系统进行测试——特别是那些需要在严格监管环境中运作的企业。

Bugcrowd以及HackerOne等供应商解决给这类客户提供解决方案。双方皆拥有信誉评分系统，能够评价个人提交内容的质量与数量。拥有良好声誉的黑客更有可能被邀请加入内部测试计划。此外，HackerOne公司还提供一项名为“HackeOne清理”的服务——如果企业客户的赏金项目拥有高度敏感性，相关黑客还需要接受额外的审查，例如背景调查与身份验证等。

本文由安全内参翻译自infoworld

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。