信息來源：Freebuf

HackerOne 發(fā)布了第四份《黑客驅(qū)動(dòng)安全報(bào)告》。報(bào)告指出，全球加大了對漏洞獎(jiǎng)勵(lì)計(jì)劃的投入，亞太區(qū)增加了93%，拉美增加了29%。全球所有漏洞獎(jiǎng)勵(lì)計(jì)劃頒發(fā)的獎(jiǎng)金同比增長了87%。全球的黑客社區(qū)的規(guī)模和深度也在不斷增強(qiáng)。來自7個(gè)國家的9名黑客在該平臺上的收入已經(jīng)超過100萬美元大關(guān)。在疫情期間，黑客每月上報(bào)的漏洞數(shù)量比平時(shí)增長了28%。在疫情爆發(fā)前，黑客通過投入時(shí)間和精力，借由 Hacker for Good 計(jì)劃為社會貢獻(xiàn)自己的力量，已向世界衛(wèi)生組織捐獻(xiàn)3萬美元用于抗擊疫情。

關(guān)鍵發(fā)現(xiàn)

目前HackerOne 平臺上的注冊黑客超過83萬名，提交的有效漏洞數(shù)量超過18.1萬個(gè)。

嚴(yán)重漏洞獲得的平均獎(jiǎng)金增長到3650美元，同比增長8%，任意嚴(yán)重級別的漏洞獲得的獎(jiǎng)金平均為979美元，比去年同比增長了9%。

過去一年，為全球黑客支付的獎(jiǎng)金總額超過4475萬美元，同比增長87%，截止到2020年5月，支付的獎(jiǎng)金總額就超過了1億美元大關(guān)。

美國仍然是漏洞獎(jiǎng)勵(lì)計(jì)劃的頭部玩家，所發(fā)放的獎(jiǎng)金超過總額的87%，不過隨著其它地區(qū)漏洞獎(jiǎng)勵(lì)計(jì)劃數(shù)量的增多，這一比例呈現(xiàn)下降趨勢。西班牙方法的獎(jiǎng)金同比增長了4321%，巴西增長了1843%，中國增長了1429%，另外還有4個(gè)國家加入。

100個(gè)國家的黑客收入同比提高，中國黑客的收入增長增速最快，達(dá)582%，其次是西班牙 (307%)、法國 (297%)和土耳其 (214%)。

來自7個(gè)國家的9名黑客的獎(jiǎng)金收入已達(dá)到100萬美元。

黑客來自全球各地，遍布226個(gè)國家和領(lǐng)土。

通過 Hack for Good，黑客共捐贈(zèng)3萬美元，世界衛(wèi)生組織是第一個(gè)受贈(zèng)方。

全球疫情爆發(fā)后是 HackerOne 平臺上 hacktivity 的激增。新增黑客注冊數(shù)量增長了59%，提交的漏洞報(bào)告增加了28%，組織機(jī)構(gòu)支付的獎(jiǎng)金總額提高了29%。

不當(dāng)訪問控制是接受獎(jiǎng)金最多的弱點(diǎn)類型，同比增長130%。信息泄漏從去年的第一位落到今年的第二位，得到的獎(jiǎng)金總額增長了60%。

全球影響力

全球安全漏洞獎(jiǎng)勵(lì)計(jì)劃的數(shù)量增長驚人，34%的計(jì)劃是在去年推出的。北美仍然占大頭，占比69%，而單是 EMEA 就占據(jù)所有新增計(jì)劃的20%，亞太地區(qū)同比增長93%。亞太市場正在快速成熟，新加坡的計(jì)劃數(shù)量增長了164%，中國增長了67%、新西蘭增長了40%。日本、韓國和泰國的計(jì)劃數(shù)量也見增長。

黑客獲得的獎(jiǎng)金總額同比增長了87%。

1獎(jiǎng)金支付 Top 5

77%的公開漏洞獎(jiǎng)勵(lì)計(jì)劃會在設(shè)立24小時(shí)內(nèi)收到第一份漏洞報(bào)告。

支付獎(jiǎng)金最多的前五個(gè)國家依次是美國（3910萬美元）、俄羅斯（88.7萬美元）、英國（55.9萬美元）、新加坡（50.6萬美元）和加拿大（49.7萬美元）。其中俄羅斯是新晉玩家，從去年的第六名上升到第二名，而德國被擠到第六名（36.3萬美元）。

2疫情對安全的影響

HackerOne 的調(diào)查發(fā)現(xiàn)，64%的全球安全領(lǐng)導(dǎo)者認(rèn)為自己所在的組織機(jī)構(gòu)會因?yàn)橐咔槎馐軘?shù)據(jù)泄漏事故，30%表示因疫情而遭受攻擊。遺憾的是，30%的領(lǐng)導(dǎo)者表示疫情導(dǎo)致安全團(tuán)隊(duì)規(guī)模減小。

3誰獲得最多獎(jiǎng)金？

從地區(qū)分布來看，亞太地區(qū)獲得的獎(jiǎng)金同比增長了131%，EMEA 幾乎翻了一番，增長了90%，北美和拉美的增長率均超過60%。

從黑客所在國家的角度來看，美國仍然是獎(jiǎng)金霸主，過去一年斬獲720萬美元，同比增長了63%。不過美國的增長率遠(yuǎn)不如中國（582%）、西班牙（307%）、法國（297%）和土耳其（214%）。100個(gè)國家的黑客收入都在增長。贏得獎(jiǎng)金最多的黑客所在國家 Top 5 是美國、中國、印度、俄羅斯和德國。中國的巨幅增長使加拿大屈居第六。

4哪些行業(yè)在設(shè)立漏洞獎(jiǎng)勵(lì)計(jì)劃

報(bào)告指出，漏洞獎(jiǎng)勵(lì)計(jì)劃多種多樣，服務(wù)目標(biāo)也各不相同。

多數(shù)組織機(jī)構(gòu)會選擇從漏洞披露策略 (VDP) 開始設(shè)立漏洞獎(jiǎng)勵(lì)計(jì)劃。漏洞獎(jiǎng)勵(lì)計(jì)劃是黑客驅(qū)動(dòng)安全的最高階表現(xiàn)形式。一般而言，參加公開漏洞獎(jiǎng)勵(lì)計(jì)劃的人數(shù)是非公開計(jì)劃的五倍。和之前一樣，非公開計(jì)劃占 HackerOne 平臺漏洞獎(jiǎng)勵(lì)計(jì)劃總數(shù)的81%，而余下的19%是公開計(jì)劃。

哪個(gè)行業(yè)設(shè)立的漏洞獎(jiǎng)勵(lì)計(jì)劃最多？

從行業(yè)的角度來看，密幣和區(qū)塊鏈組織機(jī)構(gòu)設(shè)立的公開漏洞獎(jiǎng)勵(lì)計(jì)劃數(shù)量最多，占總數(shù)的43%。醫(yī)療行業(yè)以及北美州政府和地方政府僅設(shè)立非公開漏洞獎(jiǎng)勵(lì)計(jì)劃。公開漏洞計(jì)劃設(shè)立偏少的行業(yè)是計(jì)算機(jī)硬件和外圍設(shè)備 (7%) 和旅游酒店行業(yè)（8%）。計(jì)算機(jī)軟件和互聯(lián)網(wǎng)及在線服務(wù)行業(yè)的漏洞獎(jiǎng)勵(lì)計(jì)劃非常常見。過去一年新增的40%的漏洞獎(jiǎng)勵(lì)計(jì)劃屬于計(jì)算機(jī)及軟件與互聯(lián)網(wǎng)和在線服務(wù)行業(yè)，而支付的獎(jiǎng)金占過去一年總數(shù)的72%還多。不過其它行業(yè)的增長率也不容小覷，同比增長達(dá)到200%及以上的行業(yè)是計(jì)算機(jī)硬件 (250%)、消費(fèi)者商品 (243%)、教育 (200%) 和醫(yī)療 (200%)，而媒體及娛樂行業(yè)增長了164%，零售和電商翻了一番，金融服務(wù)和計(jì)算機(jī)軟件行業(yè)的增長率均超過75%。

其它行業(yè)向更多的黑客支付更多的獎(jiǎng)金。支付總額超過100萬美元的行業(yè)包括電信（近250萬美元）、金融服務(wù)（近230萬美元）、媒體及娛樂（近183萬美元）以及汽車行業(yè)（近105萬美元）。

1行業(yè)巨頭設(shè)立 VDP 的速度仍然緩慢

報(bào)告查看了福布斯評出的Top 2000 全球企業(yè)設(shè)立漏洞披露計(jì)劃的情況，雖然有所改善，但仍然緩慢，如下圖所示：

報(bào)告還提到了設(shè)立 VDP 的五個(gè)要素：承諾、范圍、“安全港“、漏洞報(bào)告提交流程和報(bào)告評估偏好。

2各行業(yè)解決漏洞的速度有多快？

幾乎所有的行業(yè)都會在不到一天的時(shí)間里向黑客做出回應(yīng)。

報(bào)告指出，持續(xù)集成和持續(xù)交付已成為 DevOps 團(tuán)隊(duì)的新標(biāo)桿。這使得更多的團(tuán)隊(duì)在安全方面“左移“：改進(jìn)編碼實(shí)踐、在開發(fā)過程中識別并消除漏洞，以及當(dāng)代碼遷移到生產(chǎn)環(huán)境時(shí)降低風(fēng)險(xiǎn)。而持續(xù)開發(fā) (SDLC) 的最佳補(bǔ)充是持續(xù)的安全。

獎(jiǎng)金趨勢（按漏洞嚴(yán)重性和類型）

了解獎(jiǎng)金趨勢有助于了解安全風(fēng)險(xiǎn)所在。HackerOne 平臺使用了 CWE 的屬于，并基于 CVSS 進(jìn)行嚴(yán)重性評估。

報(bào)告指出，HackerOne 平臺為嚴(yán)重漏洞頒發(fā)的獎(jiǎng)金中位數(shù)是2500美元，比2019年提高了500美元。嚴(yán)重漏洞可獲得的平均獎(jiǎng)金是3650美元，而去年是3384美元。

按地區(qū)劃分的漏洞獎(jiǎng)金支付情況（中位和平均獎(jiǎng)金）

北美地區(qū)支付的 Top 10 漏洞

（平均：4263美元，中位：3000美元）

EMEA地區(qū)支付的 Top 10 漏洞

（平均：1547美元，中位：1000美元）

亞太地區(qū)支付的 Top 10 漏洞

（平均：1893美元，中位：2000美元）

拉美地區(qū)支付的 Top 10 漏洞

（平均：2567美元，中位：1800美元）

對嚴(yán)重漏洞的平均獎(jiǎng)金支付（按行業(yè)劃分）

對漏洞的平均獎(jiǎng)金支付（按嚴(yán)重程度劃分）

黑客報(bào)告的 Top 10 漏洞

另外，HackerOne 供舉辦了23場實(shí)時(shí)黑客活動(dòng)，共頒發(fā)900萬美元的獎(jiǎng)金，共收到6800份漏洞報(bào)告。

黑客

報(bào)告指出，HackerOne 平臺上的注冊黑客數(shù)量達(dá)到83萬人，有9名黑客的累計(jì)收入超過100萬美元，超過200名黑客在 HackerOne 平臺上的收入超過10萬美元。過去一年，廠商共向黑客支付4475萬美元。報(bào)告認(rèn)為，黑客的潛在收入要遠(yuǎn)超當(dāng)前的IT全球平均年收入（8,9732美元）。

入行hacking 的年限

最受黑客青睞的平臺

黑客目前的職業(yè)狀態(tài)

Hack 的目的是什么

報(bào)告指出，疫情期間的網(wǎng)絡(luò)犯罪活動(dòng)增多，其中大規(guī)模數(shù)據(jù)泄露活動(dòng)在2020年早期相比2019年增長了273%。

報(bào)告最后指出，由黑客驅(qū)動(dòng)的安全是網(wǎng)絡(luò)安全的未來。

現(xiàn)在，未來已來。