亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

如今，一個(gè)關(guān)鍵漏洞的平均支出幾乎已經(jīng)達(dá)到了 3400 美元，但在這個(gè) 50 萬人參與的漏洞市場中，通常只有極少數(shù)頂尖級的漏洞獵手能夠真正獲利。

根據(jù)安全項(xiàng)目管理公司 HackerOne 的說法，隨著越來越多的公司參與眾包挑戰(zhàn)，以吸引具有安全意識的自由職業(yè)者和道德黑客分析他們的代碼，漏洞賞金也隨之不斷飆升，但真正獲利的機(jī)會通常只屬于極少數(shù)的參與者。

在其最新發(fā)布的年度《黑客驅(qū)動(dòng)的安全報(bào)告》(Hacker-Powered Security Report) 中，HackerOne 公司發(fā)現(xiàn)，漏洞懸賞項(xiàng)目發(fā)起公司支付給關(guān)鍵漏洞發(fā)現(xiàn)者的平均賞金已經(jīng)飆升至 3,384 美元/個(gè)，比前一年的平均水平增加了 48%，而加密貨幣和區(qū)塊鏈公司支付的賞金水平最高——平均達(dá)到了 6,124 美元。在過去的12個(gè)月中，HackerOne 平臺的客戶共接收到了超過 30,000 個(gè)安全問題，這些客戶共計(jì)向漏洞研究人員提供了超過 2100 萬美元的賞金。

HackerOne 公司首席執(zhí)行官 Marten Mickos 表示，雖然目前已經(jīng)有超過 50 萬黑客注冊了 HackerOne 管理的漏洞挑戰(zhàn)項(xiàng)目，但是只有大約 5,000 名黑客真正做出了成績。換句話說，在這個(gè) 50 萬人的漏洞市場中，真正獲利的賞金獵人只占據(jù)大約 1% 而已。

我們擁有一個(gè)超過 50 萬人的巨大黑客社區(qū)，他們參與其中并努力地嘗試和競爭。最終，只有極少數(shù)的人能夠攀至頂峰，收獲成功，這就是現(xiàn)實(shí)也是競爭的意義所在。

該報(bào)告還強(qiáng)調(diào)稱，作為一種捕獲產(chǎn)品和服務(wù)漏洞的方法，漏洞懸賞模型無疑是成功的。根據(jù)每個(gè)公司的統(tǒng)計(jì)數(shù)據(jù)顯示，超過 1,400 個(gè)企業(yè)組織使用了 HackerOne 的服務(wù)，以及 1,200 個(gè)企業(yè)組織使用了競爭對手 Bugcrowd 的眾包安全服務(wù)。其中，超過 1/4 的 HackerOne 項(xiàng)目用于互聯(lián)網(wǎng)和在線服務(wù)領(lǐng)域，還有另外 20% 由計(jì)算機(jī)軟件公司組成。此外，金融服務(wù)和媒體公司也是重要的組成部分——每個(gè)都占據(jù)市場超出 7% 的份額。

然而，對于絕大多數(shù)感興趣的研究人員來說，該競賽模型并沒有發(fā)揮作用。對于 HackerOne 平臺的 50 多萬名注冊者來說，只有極少數(shù)頂級漏洞獵手能夠真正獲利——調(diào)查顯示，只有 6 名參與者在 HackerOne 平臺上賺取了超過 100 萬美元，另外 7 名參與者的終身收入超過了 50 萬美元——這些人顯然只占據(jù)了 HackerOne 平臺注冊者的極小一部分。

Mickos 還將漏洞市場中的這種競爭現(xiàn)象與成為好萊塢電影明星或籃球?qū)I(yè)人士的競爭現(xiàn)象進(jìn)行了比較。

每個(gè)人放學(xué)后都會打籃球，但并非每個(gè)人都能打進(jìn) NBA 成為 MVP。我們需要在最廣泛的社區(qū)中尋找真正具備好奇心、能力、興趣和成功潛力的極少數(shù)特殊個(gè)體。

漏洞賞金的整體水平上漲并不令人意外。眾包安全公司 Bugcrowd 在其最新發(fā)布的報(bào)告中指出，通過自己的漏洞懸賞項(xiàng)目支付安全問題的支出增加了 83%，其中，關(guān)鍵漏洞的獎(jiǎng)勵(lì)增加了 27%，達(dá)到了 2,670 美元。報(bào)告還指出，“最大方” 的漏洞懸賞項(xiàng)目發(fā)布者為物聯(lián)網(wǎng)制造商，其關(guān)鍵漏洞的平均賞金高達(dá) 8,556 美元。

HackerOne 和 Bugcrowd 表示，漏洞賞金飆升的原因在于公司需要支付更多才能挖掘到更多難度級別更高的漏洞。

Bugcrowd 在其 Priority One 報(bào)告中指出，根據(jù)數(shù)據(jù)顯示，在 2018 年頂級 VRT（漏洞評級分類）中，5 個(gè)類別中的 4 個(gè)均是有關(guān)任何設(shè)備都難以找到的漏洞。這無疑證明，如今的漏洞挖掘難度正在進(jìn)一步增大。

最近，微軟和谷歌紛紛提高了自己的賞金額度。以谷歌公司為例，谷歌自 2010 年起就創(chuàng)建了 “Chrome漏洞獎(jiǎng)勵(lì)計(jì)劃”，并且已收到 8500 多份有參考價(jià)值的漏洞報(bào)告，為此谷歌支付了超過 500 萬美元的獎(jiǎng)金。

今年 7 月，為強(qiáng)化谷歌瀏覽器的安全性，谷歌宣布提高研究人員報(bào)告谷歌瀏覽器安全漏洞的賞金額度。在此次頒布的獎(jiǎng)勵(lì)辦法中，Windows 7/8.1/10、macOS 10.10+、Linux、Android 4.4+、iOS 7+ 系統(tǒng)上的谷歌瀏覽器，以及最新版本的 Chrome OS 系統(tǒng)，都會參加。研究人員只要能夠找到有價(jià)值的安全漏洞就能獲得獎(jiǎng)勵(lì)，并且價(jià)值越大，獎(jiǎng)勵(lì)越高。

其中，獎(jiǎng)勵(lì)最高的是沙盒逃逸、非沙盒線程內(nèi)存異常，若能找到相關(guān)的漏洞，就能獲得至少 5000 美元至 15000 美元不等的獎(jiǎng)金，并且高價(jià)值的漏洞報(bào)告可獲 20000 美元獎(jiǎng)金。

除此之外，今年早些時(shí)候，知名漏洞交易平臺 Zerodium（收購零日漏洞并將其出售給政府機(jī)構(gòu)和執(zhí)法部門）也更新了其對 0Day 漏洞的相關(guān)報(bào)價(jià)，以激勵(lì)更多人向他們提交發(fā)現(xiàn)的漏洞。Zerodium 官方稱，對符合條件的 0Day 漏洞的賠償從 2000 美元到 200 萬美元（主要為針對 Apple iOS 操作系統(tǒng)的零日漏洞）不等。

毫無疑問，這些獎(jiǎng)勵(lì)只是為了找到最有利可圖的漏洞。然而，在 HackerOne 項(xiàng)目中發(fā)現(xiàn)的問題只有 7% 是至關(guān)重要的，另外 18% 被認(rèn)為是嚴(yán)重程度較高的問題。據(jù)大多數(shù)漏洞 (75%) 的嚴(yán)重程度為 “中危” 或 “低危” 級別。雖然 HackerOne 平臺的平均獎(jiǎng)金在過去 12 個(gè)月中上漲了 65％，但發(fā)現(xiàn)這些漏洞的利潤卻遠(yuǎn)低于此。

調(diào)查還發(fā)現(xiàn)，支付賞金最高的 4 大行業(yè)分別是加密貨幣和區(qū)塊鏈公司——為關(guān)鍵漏洞支付 6,124 美元；互聯(lián)網(wǎng)和在線服務(wù)公司——為關(guān)鍵漏洞支付 4,973 美元；航天航空公司——為關(guān)鍵漏洞支付 4,500 美元；以及電子和半導(dǎo)體公司——為關(guān)鍵漏洞支付 4,398 美元。

雖然大多數(shù)漏洞的獎(jiǎng)勵(lì)仍然很低，但是漏洞懸賞競賽的吸引力就在于盡可能吸引更多的人才在網(wǎng)絡(luò)安全方面發(fā)揮重要作用，因?yàn)榫W(wǎng)絡(luò)安全領(lǐng)域確實(shí)需要更多的人員參與。

在這 50 萬人的漏洞市場中，可能有 50,000 人將需要黑客攻擊，可能會有 5,000 將成為安全專業(yè)人員，也可能其中有 500 人會最終發(fā)展成為首席信息安全官。好消息是，這些都是自發(fā)完成的，我們通過越來越多極具吸引力的項(xiàng)目和金額讓年輕人加入我們的隊(duì)伍中學(xué)習(xí)，以推動(dòng)該過程的實(shí)現(xiàn)。