行業(yè)動態(tài)

美國漏洞眾測平臺HackerOne運營模式解讀與分析

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2016-08-01    瀏覽次數(shù):
 

信息來源:比特網(wǎng)

3月,當(dāng)美國國防部宣布與HackerOne合作邀請黑客參與“Hack the Pentagon”的漏洞獎勵計劃之后,讓HackerOne再次成為業(yè)界焦點。對于混跡于國內(nèi)外各漏洞眾測平臺的菜鳥,以個人之見和能力所及對HackerOne寫點介紹,談點感受。

1 公司介紹

HackerOne是一個總部位于美國舊金山的漏洞眾測公司,公司分部位于荷蘭格羅寧根。多家世界知名技術(shù)公司都使用HackerOne平臺,如Yahoo、TwitterAdobe、Uber、facebook等。目前,HackerOne平臺注冊黑客共3000多人來自150多個國家,漏洞眾測合作企業(yè)達500多家。HackerOne是最早接受并利用黑客開展商業(yè)模式的公司之一。

2 創(chuàng)業(yè)歷史

2011年,20多歲的荷蘭黑客JobertAbma, Michiel Prins, 和Merijn Terheggen出于打賭,列出了他們計劃入侵的100家高科技公司清單,不久,他們就發(fā)現(xiàn)Facebook, Google, Apple,Microsoft, Twitter等其它95家公司的網(wǎng)絡(luò)系統(tǒng)中都存在不同程度的安全漏洞。他們將這一清單稱作“Hack 100”。

當(dāng)他們聯(lián)系這些公司時,有1/3的公司并不關(guān)注這些問題。另1/3的公司對他們表示感謝,但并未修復(fù)漏洞。而其余公司則試圖盡快解決漏洞。幸運的是,沒人通知警察。

4 founder 1.jpg

在處理Facebook漏洞時,他們與Facebook產(chǎn)品安全經(jīng)理Alex Rice結(jié)識,共同組成公司合伙人,于2012年成立HackerOne。由Alex Rice擔(dān)任公司CTO,Merijn Terheggen任CEO,Jobert Abma任技術(shù)領(lǐng)導(dǎo),Michiel Prins為產(chǎn)品經(jīng)理。2014年,微軟前首席安全策略師(CPO)Katie Moussouris 加盟成為其 CPO。2015年底,MySQL和Eucalyptus前CEO Marten Mickos 出任HackerOne 公司CEO。

3 投資情況

2014年5月,HackerOne獲得由Benchmark領(lǐng)投的900萬美元A輪投資;2015年6月,HackerOne獲得2500萬美元B輪投資,由New Enterprise Associates領(lǐng)投,投資方有Nicolas Berggruen,Brandon Beck,David Sacks,Jeremy Stoppelman,Drew Houston,Marc Benioff,Benchmark等。

2016-07-26_090010.jpg

4 盈利模式

HackerOne以信息安全為重,通過在企業(yè)和黑客之間建立漏洞獎勵平臺,致力實現(xiàn)企業(yè)和黑客的利益雙贏。HackerOne通過建立的漏洞眾測平臺,由眾測企業(yè)向黑客支付發(fā)現(xiàn)漏洞的獎勵,HackerOne則從企業(yè)獎勵中抽取 20% 的費用。

另外,HackerOne還通過向企業(yè)提供付費服務(wù)模式,如漏洞訂閱服務(wù)、漏洞披露指導(dǎo)、安全咨詢等。目前,HackerOne已幫助500多家企業(yè)找出2萬多個漏洞,向3200多名獨立安全研究員發(fā)放了600多萬美元的獎勵,單個漏洞獎勵最多達到3萬美元。

5 服務(wù)方式

For hackers:

與通常的眾測平臺一樣,注冊,加入項目,提交漏洞;

For companies:

對于眾測企業(yè),HackerOne提供了四種服務(wù)模式:Security@、 Professional、Enterprise、Fully Managed,HackerOne對這幾種模式的漏洞披露、漏洞管理、安全性等方面提供不同的服務(wù),以下是不同服務(wù)模式的對比:

Clipboard Image.png


Clipboard Image.png

Clipboard Image.png

Clipboard Image.png

Clipboard Image.png

Clipboard Image.png

Security Page頁面包含公司情況、披露政策、希望邀請的黑客、漏洞規(guī)則等關(guān)鍵信息。

Fully Managed是HackerOne的付費服務(wù),針對那些想要對漏洞情況進行進一步篩查和校驗的企業(yè)。企業(yè)通過Fully Managed模式可選擇與HackerOne推薦的世界級安全咨詢合作機構(gòu)簽訂不定期的信息安全服務(wù)。

Security@ 是HackerOne社區(qū)的安全項目快速查詢目錄,通過該查詢目錄可以快速找到在HackerOne平臺上開展漏洞眾測項目的企業(yè),方便黑客提交漏洞。

6 漏洞保密原則

HackerOne只為“漏洞協(xié)作披露”項目提供處理工具,網(wǎng)站實行漏洞庫訪問控制權(quán)限,HackerOne雇員無權(quán)查看任何廠商漏洞信息,HackerOne決不與其它第三方分享客戶的漏洞數(shù)據(jù),并提倡以PGP加密方式提交漏洞信息。在漏洞未解決之前,所有提交漏洞信息除企業(yè)和漏洞提交者之外都不可見。

7 漏洞獎勵價格

(1)依靠提交的漏洞質(zhì)量來定。廠商給出的漏洞價格可以參考幾個方面:漏洞嚴(yán)重性、對最終用戶或客戶的影響范圍、項目預(yù)算、項目階段及保密性、廠商漏洞披露計劃成熟度等。

(2)為了吸引和激勵黑客,HackerOne規(guī)定每個漏洞獎勵金額下限不低于100美元,針對大多數(shù)的一般漏洞,獎勵金額范圍為$100-$1,000,當(dāng)然,HackerOne也提倡超出范圍重獎某些嚴(yán)重漏洞。考慮到不同漏洞對不同廠商的影響不一,如Clickjacking類型漏洞對某些企業(yè)來說很嚴(yán)重,但對其它企業(yè)來說只屬于informative類漏洞,因此,除規(guī)定100美金的下限外,HackerOne未針對不同漏洞類別設(shè)置最低獎勵限制。獎勵金額根據(jù)漏洞對廠商影響程度而定。

(3)針對幾類特別重要漏洞,為了提高獎勵透明度和黑客期望值,HackerOne根據(jù)漏洞成熟度模型給出了一個以供企業(yè)參考的最低獎勵結(jié)構(gòu),當(dāng)然企業(yè)有權(quán)根據(jù)漏洞影響程度來上調(diào)最低獎勵基準(zhǔn)。如最近Uber的一個XSS漏洞獎勵就達7000美金。

Clipboard Image.png

8 安全性

(1)所有和HackerOne服務(wù)器平臺交流的信息都是加密的。安全團隊可以使用HackerOne的IP白名單策略進行權(quán)限訪問控制。

(2)HackerOne采用軍用級加密技術(shù)、雙因子認(rèn)證、單點登錄、ISO/IEC 27001信息安全管理體系認(rèn)證;

(3)HackerOne提倡企業(yè)遵守ISO/IEC 29147-2014 《信息技術(shù)-安全技術(shù)-漏洞披露標(biāo)準(zhǔn)》,同時通過自動化平臺幫助指導(dǎo)企業(yè)進行漏洞披露。ISO/IEC29147-2014標(biāo)準(zhǔn)的目的:為企業(yè)提供如何接收漏洞、發(fā)布漏洞解決方案的指導(dǎo)方針,為企業(yè)提供漏洞披露過程的相關(guān)信息和示例。

9 特色點之DASHBOARD

HackerOne的Dashboard功能是為了顯示企業(yè)提交漏洞和獎勵金額的準(zhǔn)確信息,Dashboard還可以幫助企業(yè)確定和跟蹤軟件開發(fā)生命周期中的改進領(lǐng)域。通過Dashboard,企業(yè)可以查看每天、每周和每月的漏洞趨勢和發(fā)展情況,數(shù)據(jù)產(chǎn)生的報告可下載為CSV格式保存。另外,如果企業(yè)需要更先進和及時的報告要求,可以通過HackerOne的API把Dashboard數(shù)據(jù)整合到第三方報告工具中。

Dashboard的數(shù)據(jù)指標(biāo)包括:解決的漏洞數(shù)、獎勵金額總和、黑客致謝、獎勵的報告數(shù)、獎金平均數(shù)、支付與漏洞解決占比、漏洞響應(yīng)時間、漏洞解決時間、報告狀態(tài)圖、漏洞響應(yīng)與解決時間狀態(tài)圖、獎金支付走勢圖、黑客獲取金額排行圖、黑客獎勵次數(shù)排行圖。

Screen Shot 2016-07-13 at 5.24.31 PM.png

10 特色點之漏洞協(xié)調(diào)成熟度模型

HackerOne根據(jù)長期的漏洞提交模式分析,發(fā)布了針對漏洞協(xié)作披露的漏洞協(xié)調(diào)成熟度模型(Vulnerability Coordination Maturity Model,VCMM)。HackerOne認(rèn)為,影響漏洞協(xié)作披露的因素主要包括5個方面的能力領(lǐng)域:組織、工程、交流、分析與激勵,每個領(lǐng)域又包含基本、高級和專家3個成熟度等級,VCMM模型目的在于幫助企業(yè)評估漏洞協(xié)調(diào)機制,直觀地識別出需要改進的領(lǐng)域,指導(dǎo)企業(yè)進行內(nèi)外部組織能力提升,更好地消除安全漏洞隱患。

HackerOne的VCMM針對社會面的公開測試模型為:VCMM-survey,當(dāng)然除此之外,HackerOne還針對在其平臺合作的眾測企業(yè)提供漏洞信息量化模型指標(biāo)。以下是VCMM5個能力領(lǐng)域的等級介紹:

Clipboard Image.png

Clipboard Image.png

Clipboard Image.png

Clipboard Image.png

Clipboard Image.png

根據(jù)5方面的能力領(lǐng)域分值,VCMM可以確定企業(yè)在漏洞協(xié)調(diào)管理方面存在的問題和急需改進的領(lǐng)域,如以下為Adobe公司某個時期的VCMM模型圖。

adobe.jpg

11 HackerOne漏洞披露原則

HackerOne聲明的漏洞披露原則如下:所有的技術(shù)都包含漏洞,如果你發(fā)現(xiàn)了一個安全漏洞,我們希望幫助到你。通過HackerOne平臺項目提交漏洞或注冊成為眾測企業(yè),我們希望你閱讀并同意以下準(zhǔn)則。

(1)披露哲學(xué)

我們相信漏洞發(fā)現(xiàn)者和眾測企業(yè)之間的相互尊重和透明度是有效漏洞披露流程的前提。

漏洞提交者須:尊重規(guī)則、尊重隱私、保持耐心、友好;

眾測企業(yè)須:安全為重、尊重漏洞提交者、獎勵漏洞提交者、友好。

(2)漏洞披露流程:

提交漏洞的報告內(nèi)容將會立即提供給眾測企業(yè)的安全團隊,在非公開狀態(tài)下,讓企業(yè)有足夠的時間驗證漏洞并發(fā)布修補公告。在漏洞提交報告關(guān)閉后才能進行公開披露。

一般情況:如果雙方都不提出異議,漏洞提交報告的內(nèi)容將在30天內(nèi)公開。

雙方協(xié)議:我們鼓勵漏洞提交者和企業(yè)就披露期限有良好的溝通協(xié)商,如果雙方無異議,披露時間可按協(xié)商時間而定。

保護性披露:如果企業(yè)發(fā)現(xiàn)所提交的漏洞正在被積極開發(fā)利用并對公眾造成傷害,企業(yè)可以會立即向社會發(fā)布漏洞修補公告,以便用戶可以采取保護措施。

延伸:由于復(fù)雜性等因素的影響,一些漏洞將需要比30天更長的時間來進行修補。在這種情況下,漏洞報告還將繼續(xù)保密,以確保企業(yè)安全團隊有足夠的時間來解決問題,同時,我們鼓勵企業(yè)安全團隊與漏洞提交者保持溝通。

最后的手段:如果180天之內(nèi),眾測企業(yè)安全團隊無法或不愿提供一個確切的漏洞披露時間表,該漏洞的提交者有權(quán)公開漏洞內(nèi)容。我們認(rèn)為,在這種極端情況下,保持對公眾透明是最好的方式。

12 HackerOne與其它眾測平臺的橫向比較

2015年8月,賓夕法尼亞州立大學(xué)曾對幾個著名的漏洞眾測平臺進行過研究分析,研究涉及眾測平臺提交的漏洞數(shù)、注冊白帽人員、合作客戶、漏洞獎金等,國內(nèi)平臺也包括在內(nèi),以下是HackerOne的各種指標(biāo)對比圖:

Clipboard Image.png

Clipboard Image.png

Clipboard Image.png

從以上指標(biāo)可以看出,HackerOne平臺的白帽數(shù)量在公司創(chuàng)立之初時呈緩慢增長態(tài)勢,另外,只有極少數(shù)機構(gòu)獲得的漏洞報告數(shù)較多,如twitter、facebook等財大氣粗而霸氣的明星企業(yè);但是,從白帽與漏洞線性圖可以看出,HackerOne平臺的精英黑客較多,部分黑客長期活躍于平臺,并且提交的漏洞質(zhì)量較高。研究結(jié)果表明,國內(nèi)眾測平臺的白帽數(shù)量相對較多,也比較活躍,但與國外眾測平臺相比,漏洞獎金差距較大,還有待提高。

13 個人觀點

安全保密:HackerOne只提供漏洞報告、處理、咨詢平臺,HackerOne在無授權(quán)情況下無法訪問查看眾測企業(yè)漏洞信息,提交漏洞內(nèi)容只有在完全解決之后才會公開。最重要的一點,HackerOne平臺采用加密方式進行信息交互傳輸,最大程度保護白帽子信息;

漏洞獎勵:從最低獎勵金額100刀就能初略反映出老美對安全的重視程度,另外,HackerOne對幾類重要漏洞給出的參考性獎勵結(jié)構(gòu)對白帽子們來說也是相當(dāng)具有吸引力的,如XXS(critical)和CSRF(critical)類漏洞能達到2500 刀,所有XSS類型漏洞為1000刀,雖然只是參考,但如果企業(yè)的最低獎勵金額達不到這種標(biāo)準(zhǔn),那么,企業(yè)信任度和眾測吸引力將會受影響,當(dāng)然白帽積極性也不會太高。如最近Uber的一個XSS漏洞獎勵就達7000美金,另據(jù)HackerOne平臺聲稱有些高級黑客每年能賺20多萬美元,單個漏洞獎勵曾達3萬美元。

專業(yè)合規(guī)性:參與眾測的廠商大部分是知名和業(yè)界創(chuàng)新企業(yè),這些企業(yè)具備的市場占有率要求企業(yè)對安全必須要有足夠高的重視,當(dāng)然除了認(rèn)同HackerOne的披露政策外,這些企業(yè)在HackerOne上的眾測項目還有自己的規(guī)則,比如,漏洞有效性、漏洞報告模板、漏洞測試規(guī)則等。作為白帽子們,HackerOne會定期對所提交漏洞的有效性進行評定,結(jié)合積分致謝等情況,作為白帽子的等級聲譽,也作為某些邀請項目對白帽子的考核指標(biāo)。

法律界定性:這可能都是國內(nèi)外眾測平臺面臨的一個問題吧。首先,加入HackerOne眾測項目的企業(yè)得遵守 HackerOne的披露規(guī)則,做到HackerOne 、企業(yè)和白帽子三方共同認(rèn)可眾測項目,最大程度地保護白帽子;另外,HackerOne 認(rèn)為互聯(lián)網(wǎng)世界就是未來信息戰(zhàn)的前沿陣地,而黑客們就是士兵和武器制造者,如何贏得或征募黑客參與防衛(wèi),當(dāng)前可能需要對現(xiàn)行的法律進行修改,以消除“安全防護”和“犯罪”之間的模糊界限,鼓勵安全研究。HackerOne認(rèn)為白帽子們利用稀缺珍貴的技術(shù)發(fā)現(xiàn)漏洞保護信息安全,這本身就是一個有利企業(yè)和公眾的事情,如果白帽安全者能發(fā)現(xiàn)漏洞,其它壞人也可以發(fā)現(xiàn),然而美國現(xiàn)行的計算機法律還未對白帽安全研究者給予明確保護。

2015年5月,美國信息安全界提交了針對安全研究的豁免條款修訂意見之后, 美國版權(quán)局修訂了《數(shù)字千年版權(quán)法案》,加入了針對軟件安全研究的免責(zé)說明。這對漏洞眾測的未來,可能是一種進步。HackerOne 希望安全研究能受到法律的合法保護,并呼吁現(xiàn)行和未來的法律體系能為安全研究者創(chuàng)建一個良好的研究氛圍。

用戶體驗:總體來講,HackerOne的用戶體驗度還是蠻好的,從注冊、提交漏洞、信息接收和項目邀請等方面來講,都能站在白帽和企業(yè)的角度來提供服務(wù)和考慮問題;另外白帽和企業(yè)之間的交流、獎勵機制、漏洞調(diào)解都比較及時、透明和公開。其次,從HackerOne網(wǎng)站架構(gòu)情況也可以體現(xiàn)出HackerOne具備的良好用戶體驗功能。

以上就是對HackerOne的一些淺略介紹和分析,相比較而言,國內(nèi)眾測平臺的發(fā)展也是相當(dāng)不錯的。就國內(nèi)眾測廠商來說,筆者對漏洞盒子比較熟悉,從其企業(yè)客戶對眾測服務(wù)的效果反饋和近年來迅速提升的接受度上來說,眾測平臺的存在價值毋庸置疑。

就像HackerOne CEO Marten Mickos說的,漏洞眾測平臺的未來是生機蓬勃的,當(dāng)然,眾測的良好生態(tài)發(fā)展需要社會整體信息安全重視度、企業(yè)責(zé)任心、白帽技能、政策法規(guī)等因素的共同改善和提升。作為白帽子的我們在努力提高技能的同時,也不要忘記加入國內(nèi)優(yōu)秀眾測平臺為信息安全奉獻自己的微薄之力。

 
 

上一篇:2016年07月31日 聚銘安全速遞

下一篇:反擊黑客勒索!這家網(wǎng)站幫你免費解密被黑文件