漏洞赏金计划的隐患

近几个月来，漏洞赏金计划已经从降低风险转向无意中为客户和供应商带来新的负担。

漏洞赏金计划在过去几年中加速发展，宣称可以加快漏洞识别、改善产品安全和削减成本。许多企业被此类外包解决方案所迷惑，兴冲冲参与进来，却发现自己面临着意想不到的漏洞和未曾预期的威胁。首当其中的就是原以为可靠的漏洞快速修复，到头来不过是另一种新的负担。

随着验证要求越来越复杂，合规框架审计疲劳累积越来越多，没有人会不经过审慎的战略性考虑就匆忙跳入漏洞赏金计划。但不幸的是，隐藏的风险比比皆是。漏洞赏金计划：

不是官方认可的第三方认证，也满足不了监管合规要求。
可以快速识别漏洞，但不能提供深度测试，也无法覆盖整个攻击界面。
向道德黑客开放了源代码访问权，但为对手自由找寻和恶意利用漏洞敞开了大门。

最被忽视的一个问题是，漏洞赏金计划的成本很容易超出控制。可能的原因包括：识别出的漏洞数量不受限制(支付赏金)、漏洞被恶意利用(受监管数据遭泄露)、修复无害漏洞(浪费开发时间)，以及法律判决(疏于补救)。

▶ 避免隐患

漏洞赏金计划常被管理层视为利用外包即期支付模式高效暴露漏洞的万灵丹。因此，很多计划都过分强调了全面安全策略中漏洞赏金的价值。决策者太容易不经过审慎考虑和尽职调查就批准此类项目了。但是，个中假设真的太多。

或许最根本的症结在于人性，这引发了几个问题。如果所谓的道德黑客中有人不那么道德会怎样?如果粗心大意的赏金猎手就是没能报告漏洞会如何?如果没报告的漏洞后续暴露出来可能导致公司无法承担的代价会怎样?如果公司重度依赖漏洞赏金计划这种测试形式，但忽视了遵从PCI、FedRAMP或其他监管合规框架，又会如何?

最近的取证审查中就出现过这种情况：赏金猎手未能披露的漏洞在两个月后被恶意黑客轻易利用了，造成大量高价值客户数据就在这个本应防止此类事件的漏洞赏金计划眼皮底下被盗卖。

财富500强企业尤其感受到自己试图通过漏洞赏金计划保护的应用正遭受越来越多的攻击。高产环境中的攻击途径随着赏金支出和机会目标的增多而不断扩大。数量上升的同时，白帽子黑客舞弊的可能性也会增加，还会触发埋伏在内部和外部的恶意黑客未授权访问。

大部分好黑客站在正义的一方。但典型的漏洞赏金计划为快速变现单个漏洞提供了激励。这种佣兵操作理论上很高产，但并不能抹杀恰当审查的必要性和保障计划覆盖整个攻击界面的重要性。

数据泄露频发的今天，法律责任风险巨大。有太多的判例法能让公司承担责任。失败的漏洞赏金计划越来越多地出现在法律发现过程中，并被用于证明公司的疏漏。

▶ 奏效关键

尽管存在隐患，但日常接触这些计划就会知道，漏洞赏金依然有效，可在企业风险管理中发挥重要作用。

首先，建议将漏洞赏金监管委托给外部法律团队。我们不仅仅要找出漏洞，还要保护公司面对法律和监管责任的风险敞口，毕竟漏洞赏金计划识别出的漏洞若未及时修复是要担负法律责任的。法庭希望看到公司及时采取了合理的措施修复已发现漏洞，并让公司负责。漏洞猎手却不用为漏掉或未能报告漏洞承担责任。

最重要的是，漏洞赏金计划作为一项攻击性策略，从本质上就限制了所能检测的范围，其他网络问题会被忽略是众所周知的事实。一直依赖漏洞赏金计划确保自身安全的公司常会遇到严重性为1的漏洞。有时候这些计划会失去焦点，有时候预期投资回报就此成为鸡肋，有时候就是单纯停止了计划。或许预算被太多的赏金支出拖垮，而门户也为漏洞利用大敞。