漏洞獎勵數(shù)額不是“看著給的”,而是經(jīng)過精心計算的。
口令安全公司1Password最近將其漏洞獎勵最高獎金從$25,000提升到了$100,000。其博客上稱,獎金數(shù)額的增加,是為了更進(jìn)一步激勵研究人員。無獨有偶,谷歌去年的漏洞獎勵項目也是大手筆,共花了300萬美元。
但是,這些數(shù)額到底是怎么確定的呢?
眾測平臺Bugcrowd的運營副總裁大衛(wèi)·貝克表示,這些大獎表明,公司企業(yè)已經(jīng)開始真正思考漏洞市場,以及漏洞的市場價值。
“一個漏洞應(yīng)該值多少錢?”,這是寄望于眾包安全測試的公司常會提出的問題。
隨著漏洞獎勵市場的成熟,該問題的答案也在不斷發(fā)展中,但成功關(guān)鍵還是保持不變——以恰當(dāng)?shù)募钗_的研究人員。然而,大多數(shù)公司都沒認(rèn)識到的是,影響?yīng)剟钪Ц秴^(qū)間的決定因素是多樣而又復(fù)雜的。
從定義范圍,到建立有吸引力的支付區(qū)間和吸引具有堅實基礎(chǔ)的研究人員積極參與,啟動一個獎勵項目會非常復(fù)雜,且會隨著項目的進(jìn)程愈趨復(fù)雜。貝克共享了一些界定漏洞獎勵項目范圍的最佳實踐,包括怎樣提升支付額度,何時提升,以及公司企業(yè)該如何從獎勵項目中獲取最大收益。
換位思考
最開始界定項目范圍的時候,強調(diào)范圍對項目成功的關(guān)鍵性是十分重要的。范圍以最簡單的形式告訴研究人員哪些該做,哪些不該做,這將決定你能否從眾包項目中獲得想要的結(jié)果。而且,這還延伸到了定價目標(biāo)。不妨將自己換位到研究人員的角色去思考。你知道特定漏洞對公司的價值——這就是你應(yīng)該為此支付的金額。
定義漏洞價值
這是公司成功創(chuàng)建范圍所需要問的重要問題之一,且取決于公司、公司目標(biāo),以及公司安全團(tuán)隊的規(guī)模。隨著越來越多的公司將其業(yè)務(wù)和安全目標(biāo)依托眾包出去的安全項目,我們開始看到眾包動機(jī)和活動的總體上升趨勢。通過深入研究和評估潛在漏洞對業(yè)務(wù)的影響,以及了解漏洞市場,公司可以在任意時間點正確定義特定漏洞的價值(該價值會隨時間而變化)。
正確的時間正確的價格
公司安全成熟度,是確定漏洞獎勵方式的關(guān)鍵因素。有著更為成熟的安全項目的公司,會具備聚焦安全的過程。因此,漏洞也就需要花費更多的時間精力去查找。建議基于優(yōu)先級分類來定義漏洞的項目獎勵,但要記得隨漏洞對公司安全的意義增加獎金。
創(chuàng)建有競爭力的項目
漏洞獎勵市場快速發(fā)展,各項目之間存在競爭,若沒有恰當(dāng)?shù)闹笇?dǎo),很多公司會陷入項目籍籍無名的困境,吸引不到最好的研究人員。保持競爭性不僅僅止于高額獎金——屬意目標(biāo)的廣度總能吸引到人才,公開發(fā)行的機(jī)會也有同樣效果。對研究人員而言,公開曝光是某種形式上的威望,證明了挖掘有價值事物所需的技術(shù)和知識,也是教授同行和消費者野生漏洞的教育工具。同時,也為初入行的個人提供了職業(yè)機(jī)會和授權(quán)影響力。
市場營銷的力量
別低估了漏洞獎勵項目市場營銷的力量。很多公司將其漏洞獎勵項目作為展示其安全態(tài)勢的大好機(jī)會。增加獎勵,是展示公司對自身安全和客戶安全重視程度的絕佳方式。
京公網(wǎng)安備 11010502049343號