近幾個(gè)月來，漏洞賞金計(jì)劃已經(jīng)從降低風(fēng)險(xiǎn)轉(zhuǎn)向無意中為客戶和供應(yīng)商帶來新的負(fù)擔(dān)。

漏洞賞金計(jì)劃在過去幾年中加速發(fā)展，宣稱可以加快漏洞識(shí)別、改善產(chǎn)品安全和削減成本。許多企業(yè)被此類外包解決方案所迷惑，興沖沖參與進(jìn)來，卻發(fā)現(xiàn)自己面臨著意想不到的漏洞和未曾預(yù)期的威脅。首當(dāng)其中的就是原以為可靠的漏洞快速修復(fù)，到頭來不過是另一種新的負(fù)擔(dān)。

隨著驗(yàn)證要求越來越復(fù)雜，合規(guī)框架審計(jì)疲勞累積越來越多，沒有人會(huì)不經(jīng)過審慎的戰(zhàn)略性考慮就匆忙跳入漏洞賞金計(jì)劃。但不幸的是，隱藏的風(fēng)險(xiǎn)比比皆是。漏洞賞金計(jì)劃：

• 不是官方認(rèn)可的第三方認(rèn)證，也滿足不了監(jiān)管合規(guī)要求。
• 可以快速識(shí)別漏洞，但不能提供深度測(cè)試，也無法覆蓋整個(gè)攻擊界面。
• 向道德黑客開放了源代碼訪問權(quán)，但為對(duì)手自由找尋和惡意利用漏洞敞開了大門。

最被忽視的一個(gè)問題是，漏洞賞金計(jì)劃的成本很容易超出控制。可能的原因包括：識(shí)別出的漏洞數(shù)量不受限制(支付賞金)、漏洞被惡意利用(受監(jiān)管數(shù)據(jù)遭泄露)、修復(fù)無害漏洞(浪費(fèi)開發(fā)時(shí)間)，以及法律判決(疏于補(bǔ)救)。

▶ 避免隱患

漏洞賞金計(jì)劃常被管理層視為利用外包即期支付模式高效暴露漏洞的萬靈丹。因此，很多計(jì)劃都過分強(qiáng)調(diào)了全面安全策略中漏洞賞金的價(jià)值。決策者太容易不經(jīng)過審慎考慮和盡職調(diào)查就批準(zhǔn)此類項(xiàng)目了。但是，個(gè)中假設(shè)真的太多。

或許最根本的癥結(jié)在于人性，這引發(fā)了幾個(gè)問題。如果所謂的道德黑客中有人不那么道德會(huì)怎樣?如果粗心大意的賞金獵手就是沒能報(bào)告漏洞會(huì)如何?如果沒報(bào)告的漏洞后續(xù)暴露出來可能導(dǎo)致公司無法承擔(dān)的代價(jià)會(huì)怎樣?如果公司重度依賴漏洞賞金計(jì)劃這種測(cè)試形式，但忽視了遵從PCI、FedRAMP或其他監(jiān)管合規(guī)框架，又會(huì)如何?

最近的取證審查中就出現(xiàn)過這種情況：賞金獵手未能披露的漏洞在兩個(gè)月后被惡意黑客輕易利用了，造成大量高價(jià)值客戶數(shù)據(jù)就在這個(gè)本應(yīng)防止此類事件的漏洞賞金計(jì)劃眼皮底下被盜賣。

財(cái)富500強(qiáng)企業(yè)尤其感受到自己試圖通過漏洞賞金計(jì)劃保護(hù)的應(yīng)用正遭受越來越多的攻擊。高產(chǎn)環(huán)境中的攻擊途徑隨著賞金支出和機(jī)會(huì)目標(biāo)的增多而不斷擴(kuò)大。數(shù)量上升的同時(shí)，白帽子黑客舞弊的可能性也會(huì)增加，還會(huì)觸發(fā)埋伏在內(nèi)部和外部的惡意黑客未授權(quán)訪問。

大部分好黑客站在正義的一方。但典型的漏洞賞金計(jì)劃為快速變現(xiàn)單個(gè)漏洞提供了激勵(lì)。這種傭兵操作理論上很高產(chǎn)，但并不能抹殺恰當(dāng)審查的必要性和保障計(jì)劃覆蓋整個(gè)攻擊界面的重要性。

數(shù)據(jù)泄露頻發(fā)的今天，法律責(zé)任風(fēng)險(xiǎn)巨大。有太多的判例法能讓公司承擔(dān)責(zé)任。失敗的漏洞賞金計(jì)劃越來越多地出現(xiàn)在法律發(fā)現(xiàn)過程中，并被用于證明公司的疏漏。

▶ 奏效關(guān)鍵

盡管存在隱患，但日常接觸這些計(jì)劃就會(huì)知道，漏洞賞金依然有效，可在企業(yè)風(fēng)險(xiǎn)管理中發(fā)揮重要作用。

首先，建議將漏洞賞金監(jiān)管委托給外部法律團(tuán)隊(duì)。我們不僅僅要找出漏洞，還要保護(hù)公司面對(duì)法律和監(jiān)管責(zé)任的風(fēng)險(xiǎn)敞口，畢竟漏洞賞金計(jì)劃識(shí)別出的漏洞若未及時(shí)修復(fù)是要擔(dān)負(fù)法律責(zé)任的。法庭希望看到公司及時(shí)采取了合理的措施修復(fù)已發(fā)現(xiàn)漏洞，并讓公司負(fù)責(zé)。漏洞獵手卻不用為漏掉或未能報(bào)告漏洞承擔(dān)責(zé)任。

最重要的是，漏洞賞金計(jì)劃作為一項(xiàng)攻擊性策略，從本質(zhì)上就限制了所能檢測(cè)的范圍，其他網(wǎng)絡(luò)問題會(huì)被忽略是眾所周知的事實(shí)。一直依賴漏洞賞金計(jì)劃確保自身安全的公司常會(huì)遇到嚴(yán)重性為1的漏洞。有時(shí)候這些計(jì)劃會(huì)失去焦點(diǎn)，有時(shí)候預(yù)期投資回報(bào)就此成為雞肋，有時(shí)候就是單純停止了計(jì)劃?；蛟S預(yù)算被太多的賞金支出拖垮，而門戶也為漏洞利用大敞。

▶ 賞金增強(qiáng)安全

管理層應(yīng)購(gòu)入漏洞賞金計(jì)劃作為全面安全策略的補(bǔ)充和增強(qiáng)。攻擊性漏洞捕捉和可擴(kuò)展動(dòng)態(tài)安全計(jì)劃之間的精細(xì)調(diào)整，才是一切保持整體平衡的關(guān)鍵。

從法律保護(hù)層開始讓公司法律顧問參與計(jì)劃審查，確定是否最好與外部律師合作，從而用法律權(quán)利保護(hù)公司。然后，確保漏洞賞金計(jì)劃和漏洞修復(fù)過程步調(diào)一致。有現(xiàn)成的解決方案集成可以幫助達(dá)成這一目標(biāo)。其間共同要素是利益相關(guān)者、業(yè)務(wù)主管和交付資源的協(xié)同，以及確立有效的規(guī)劃和溝通。

漏洞賞金計(jì)劃有其自身的位置眾人的目光都集中在改進(jìn)持續(xù)集成/持續(xù)交付(CI/CD)流水線、DevSecOps和多云環(huán)境軟件開發(fā)生命周期上，我們需要在當(dāng)今更為復(fù)雜的安全計(jì)劃中簡(jiǎn)化漏洞捕捉工作。