漏洞奖励数额不是“看着给的”,而是经过精心计算的。
口令安全公司1Password最近将其漏洞奖励最高奖金从$25,000提升到了$100,000。其博客上称,奖金数额的增加,是为了更进一步激励研究人员。无独有偶,谷歌去年的漏洞奖励项目也是大手笔,共花了300万美元。
但是,这些数额到底是怎么确定的呢?
众测平台Bugcrowd的运营副总裁大卫·贝克表示,这些大奖表明,公司企业已经开始真正思考漏洞市场,以及漏洞的市场价值。
“一个漏洞应该值多少钱?”,这是寄望于众包安全测试的公司常会提出的问题。
随着漏洞奖励市场的成熟,该问题的答案也在不断发展中,但成功关键还是保持不变——以恰当的激励吸引正确的研究人员。然而,大多数公司都没认识到的是,影响奖励支付区间的决定因素是多样而又复杂的。
从定义范围,到建立有吸引力的支付区间和吸引具有坚实基础的研究人员积极参与,启动一个奖励项目会非常复杂,且会随着项目的进程愈趋复杂。贝克共享了一些界定漏洞奖励项目范围的最佳实践,包括怎样提升支付额度,何时提升,以及公司企业该如何从奖励项目中获取最大收益。
换位思考
最开始界定项目范围的时候,强调范围对项目成功的关键性是十分重要的。范围以最简单的形式告诉研究人员哪些该做,哪些不该做,这将决定你能否从众包项目中获得想要的结果。而且,这还延伸到了定价目标。不妨将自己换位到研究人员的角色去思考。你知道特定漏洞对公司的价值——这就是你应该为此支付的金额。
定义漏洞价值
这是公司成功创建范围所需要问的重要问题之一,且取决于公司、公司目标,以及公司安全团队的规模。随着越来越多的公司将其业务和安全目标依托众包出去的安全项目,我们开始看到众包动机和活动的总体上升趋势。通过深入研究和评估潜在漏洞对业务的影响,以及了解漏洞市场,公司可以在任意时间点正确定义特定漏洞的价值(该价值会随时间而变化)。
正确的时间正确的价格
公司安全成熟度,是确定漏洞奖励方式的关键因素。有着更为成熟的安全项目的公司,会具备聚焦安全的过程。因此,漏洞也就需要花费更多的时间精力去查找。建议基于优先级分类来定义漏洞的项目奖励,但要记得随漏洞对公司安全的意义增加奖金。
创建有竞争力的项目
漏洞奖励市场快速发展,各项目之间存在竞争,若没有恰当的指导,很多公司会陷入项目籍籍无名的困境,吸引不到最好的研究人员。保持竞争性不仅仅止于高额奖金——属意目标的广度总能吸引到人才,公开发行的机会也有同样效果。对研究人员而言,公开曝光是某种形式上的威望,证明了挖掘有价值事物所需的技术和知识,也是教授同行和消费者野生漏洞的教育工具。同时,也为初入行的个人提供了职业机会和授权影响力。
市场营销的力量
别低估了漏洞奖励项目市场营销的力量。很多公司将其漏洞奖励项目作为展示其安全态势的大好机会。增加奖励,是展示公司对自身安全和客户安全重视程度的绝佳方式。
本文转自d1net(转载)