信息來源:Freebuf
HackerOne 發(fā)布了第四份《黑客驅(qū)動安全報告》。報告指出,全球加大了對漏洞獎勵計劃的投入,亞太區(qū)增加了93%,拉美增加了29%。全球所有漏洞獎勵計劃頒發(fā)的獎金同比增長了87%。全球的黑客社區(qū)的規(guī)模和深度也在不斷增強。來自7個國家的9名黑客在該平臺上的收入已經(jīng)超過100萬美元大關(guān)。在疫情期間,黑客每月上報的漏洞數(shù)量比平時增長了28%。在疫情爆發(fā)前,黑客通過投入時間和精力,借由 Hacker for Good 計劃為社會貢獻(xiàn)自己的力量,已向世界衛(wèi)生組織捐獻(xiàn)3萬美元用于抗擊疫情。
關(guān)鍵發(fā)現(xiàn)
目前HackerOne 平臺上的注冊黑客超過83萬名,提交的有效漏洞數(shù)量超過18.1萬個。
嚴(yán)重漏洞獲得的平均獎金增長到3650美元,同比增長8%,任意嚴(yán)重級別的漏洞獲得的獎金平均為979美元,比去年同比增長了9%。
過去一年,為全球黑客支付的獎金總額超過4475萬美元,同比增長87%,截止到2020年5月,支付的獎金總額就超過了1億美元大關(guān)。
美國仍然是漏洞獎勵計劃的頭部玩家,所發(fā)放的獎金超過總額的87%,不過隨著其它地區(qū)漏洞獎勵計劃數(shù)量的增多,這一比例呈現(xiàn)下降趨勢。西班牙方法的獎金同比增長了4321%,巴西增長了1843%,中國增長了1429%,另外還有4個國家加入。
100個國家的黑客收入同比提高,中國黑客的收入增長增速最快,達(dá)582%,其次是西班牙 (307%)、法國 (297%)和土耳其 (214%)。
來自7個國家的9名黑客的獎金收入已達(dá)到100萬美元。
黑客來自全球各地,遍布226個國家和領(lǐng)土。
通過 Hack for Good,黑客共捐贈3萬美元,世界衛(wèi)生組織是第一個受贈方。
全球疫情爆發(fā)后是 HackerOne 平臺上 hacktivity 的激增。新增黑客注冊數(shù)量增長了59%,提交的漏洞報告增加了28%,組織機構(gòu)支付的獎金總額提高了29%。
不當(dāng)訪問控制是接受獎金最多的弱點類型,同比增長130%。信息泄漏從去年的第一位落到今年的第二位,得到的獎金總額增長了60%。
全球影響力
全球安全漏洞獎勵計劃的數(shù)量增長驚人,34%的計劃是在去年推出的。北美仍然占大頭,占比69%,而單是 EMEA 就占據(jù)所有新增計劃的20%,亞太地區(qū)同比增長93%。亞太市場正在快速成熟,新加坡的計劃數(shù)量增長了164%,中國增長了67%、新西蘭增長了40%。日本、韓國和泰國的計劃數(shù)量也見增長。
黑客獲得的獎金總額同比增長了87%。
1獎金支付 Top 5
77%的公開漏洞獎勵計劃會在設(shè)立24小時內(nèi)收到第一份漏洞報告。
支付獎金最多的前五個國家依次是美國(3910萬美元)、俄羅斯(88.7萬美元)、英國(55.9萬美元)、新加坡(50.6萬美元)和加拿大(49.7萬美元)。其中俄羅斯是新晉玩家,從去年的第六名上升到第二名,而德國被擠到第六名(36.3萬美元)。
2疫情對安全的影響
HackerOne 的調(diào)查發(fā)現(xiàn),64%的全球安全領(lǐng)導(dǎo)者認(rèn)為自己所在的組織機構(gòu)會因為疫情而遭受數(shù)據(jù)泄漏事故,30%表示因疫情而遭受攻擊。遺憾的是,30%的領(lǐng)導(dǎo)者表示疫情導(dǎo)致安全團隊規(guī)模減小。
3誰獲得最多獎金?
從地區(qū)分布來看,亞太地區(qū)獲得的獎金同比增長了131%,EMEA 幾乎翻了一番,增長了90%,北美和拉美的增長率均超過60%。
從黑客所在國家的角度來看,美國仍然是獎金霸主,過去一年斬獲720萬美元,同比增長了63%。不過美國的增長率遠(yuǎn)不如中國(582%)、西班牙(307%)、法國(297%)和土耳其(214%)。100個國家的黑客收入都在增長。贏得獎金最多的黑客所在國家 Top 5 是美國、中國、印度、俄羅斯和德國。中國的巨幅增長使加拿大屈居第六。
4哪些行業(yè)在設(shè)立漏洞獎勵計劃
報告指出,漏洞獎勵計劃多種多樣,服務(wù)目標(biāo)也各不相同。
多數(shù)組織機構(gòu)會選擇從漏洞披露策略 (VDP) 開始設(shè)立漏洞獎勵計劃。漏洞獎勵計劃是黑客驅(qū)動安全的最高階表現(xiàn)形式。一般而言,參加公開漏洞獎勵計劃的人數(shù)是非公開計劃的五倍。和之前一樣,非公開計劃占 HackerOne 平臺漏洞獎勵計劃總數(shù)的81%,而余下的19%是公開計劃。
哪個行業(yè)設(shè)立的漏洞獎勵計劃最多?
從行業(yè)的角度來看,密幣和區(qū)塊鏈組織機構(gòu)設(shè)立的公開漏洞獎勵計劃數(shù)量最多,占總數(shù)的43%。醫(yī)療行業(yè)以及北美州政府和地方政府僅設(shè)立非公開漏洞獎勵計劃。公開漏洞計劃設(shè)立偏少的行業(yè)是計算機硬件和外圍設(shè)備 (7%) 和旅游酒店行業(yè)(8%)。計算機軟件和互聯(lián)網(wǎng)及在線服務(wù)行業(yè)的漏洞獎勵計劃非常常見。過去一年新增的40%的漏洞獎勵計劃屬于計算機及軟件與互聯(lián)網(wǎng)和在線服務(wù)行業(yè),而支付的獎金占過去一年總數(shù)的72%還多。不過其它行業(yè)的增長率也不容小覷,同比增長達(dá)到200%及以上的行業(yè)是計算機硬件 (250%)、消費者商品 (243%)、教育 (200%) 和醫(yī)療 (200%),而媒體及娛樂行業(yè)增長了164%,零售和電商翻了一番,金融服務(wù)和計算機軟件行業(yè)的增長率均超過75%。
其它行業(yè)向更多的黑客支付更多的獎金。支付總額超過100萬美元的行業(yè)包括電信(近250萬美元)、金融服務(wù)(近230萬美元)、媒體及娛樂(近183萬美元)以及汽車行業(yè)(近105萬美元)。
1行業(yè)巨頭設(shè)立 VDP 的速度仍然緩慢
報告查看了福布斯評出的Top 2000 全球企業(yè)設(shè)立漏洞披露計劃的情況,雖然有所改善,但仍然緩慢,如下圖所示:
報告還提到了設(shè)立 VDP 的五個要素:承諾、范圍、“安全港“、漏洞報告提交流程和報告評估偏好。
2各行業(yè)解決漏洞的速度有多快?
幾乎所有的行業(yè)都會在不到一天的時間里向黑客做出回應(yīng)。
報告指出,持續(xù)集成和持續(xù)交付已成為 DevOps 團隊的新標(biāo)桿。這使得更多的團隊在安全方面“左移“:改進(jìn)編碼實踐、在開發(fā)過程中識別并消除漏洞,以及當(dāng)代碼遷移到生產(chǎn)環(huán)境時降低風(fēng)險。而持續(xù)開發(fā) (SDLC) 的最佳補充是持續(xù)的安全。
獎金趨勢(按漏洞嚴(yán)重性和類型)
了解獎金趨勢有助于了解安全風(fēng)險所在。HackerOne 平臺使用了 CWE 的屬于,并基于 CVSS 進(jìn)行嚴(yán)重性評估。
報告指出,HackerOne 平臺為嚴(yán)重漏洞頒發(fā)的獎金中位數(shù)是2500美元,比2019年提高了500美元。嚴(yán)重漏洞可獲得的平均獎金是3650美元,而去年是3384美元。
按地區(qū)劃分的漏洞獎金支付情況(中位和平均獎金)
北美地區(qū)支付的 Top 10 漏洞
(平均:4263美元,中位:3000美元)
EMEA地區(qū)支付的 Top 10 漏洞
(平均:1547美元,中位:1000美元)
亞太地區(qū)支付的 Top 10 漏洞
(平均:1893美元,中位:2000美元)
拉美地區(qū)支付的 Top 10 漏洞
(平均:2567美元,中位:1800美元)
對嚴(yán)重漏洞的平均獎金支付(按行業(yè)劃分)
對漏洞的平均獎金支付(按嚴(yán)重程度劃分)
黑客報告的 Top 10 漏洞
另外,HackerOne 供舉辦了23場實時黑客活動,共頒發(fā)900萬美元的獎金,共收到6800份漏洞報告。
黑客
報告指出,HackerOne 平臺上的注冊黑客數(shù)量達(dá)到83萬人,有9名黑客的累計收入超過100萬美元,超過200名黑客在 HackerOne 平臺上的收入超過10萬美元。過去一年,廠商共向黑客支付4475萬美元。報告認(rèn)為,黑客的潛在收入要遠(yuǎn)超當(dāng)前的IT全球平均年收入(8,9732美元)。
入行hacking 的年限
最受黑客青睞的平臺
黑客目前的職業(yè)狀態(tài)
Hack 的目的是什么
報告指出,疫情期間的網(wǎng)絡(luò)犯罪活動增多,其中大規(guī)模數(shù)據(jù)泄露活動在2020年早期相比2019年增長了273%。
報告最后指出,由黑客驅(qū)動的安全是網(wǎng)絡(luò)安全的未來。
現(xiàn)在,未來已來。