HackerOne 發(fā)布了第四份《黑客驅(qū)動(dòng)安全報(bào)告》。報(bào)告指出，全球加大了對(duì)漏洞獎(jiǎng)勵(lì)計(jì)劃的投入，亞太區(qū)增加了93%，拉美增加了29%。全球所有漏洞獎(jiǎng)勵(lì)計(jì)劃頒發(fā)的獎(jiǎng)金同比增長(zhǎng)了87%。全球的黑客社區(qū)的規(guī)模和深度也在不斷增強(qiáng)。來(lái)自7個(gè)國(guó)家的9名黑客在該平臺(tái)上的收入已經(jīng)超過(guò)100萬(wàn)美元大關(guān)。在疫情期間，黑客每月上報(bào)的漏洞數(shù)量比平時(shí)增長(zhǎng)了28%。在疫情爆發(fā)前，黑客通過(guò)投入時(shí)間和精力，借由 Hacker for Good 計(jì)劃為社會(huì)貢獻(xiàn)自己的力量，已向世界衛(wèi)生組織捐獻(xiàn)3萬(wàn)美元用于抗擊疫情。

　　關(guān)鍵發(fā)現(xiàn)

　　目前HackerOne 平臺(tái)上的注冊(cè)黑客超過(guò)83萬(wàn)名，提交的有效漏洞數(shù)量超過(guò)18.1萬(wàn)個(gè)。

　　嚴(yán)重漏洞獲得的平均獎(jiǎng)金增長(zhǎng)到3650美元，同比增長(zhǎng)8%，任意嚴(yán)重級(jí)別的漏洞獲得的獎(jiǎng)金平均為979美元，比去年同比增長(zhǎng)了9%。

　　過(guò)去一年，為全球黑客支付的獎(jiǎng)金總額超過(guò)4475萬(wàn)美元，同比增長(zhǎng)87%，截止到2020年5月，支付的獎(jiǎng)金總額就超過(guò)了1億美元大關(guān)。

　　美國(guó)仍然是漏洞獎(jiǎng)勵(lì)計(jì)劃的頭部玩家，所發(fā)放的獎(jiǎng)金超過(guò)總額的87%，不過(guò)隨著其它地區(qū)漏洞獎(jiǎng)勵(lì)計(jì)劃數(shù)量的增多，這一比例呈現(xiàn)下降趨勢(shì)。西班牙方法的獎(jiǎng)金同比增長(zhǎng)了4321%，巴西增長(zhǎng)了1843%，中國(guó)增長(zhǎng)了1429%，另外還有4個(gè)國(guó)家加入。

　　100個(gè)國(guó)家的黑客收入同比提高，中國(guó)黑客的收入增長(zhǎng)增速最快，達(dá)582%，其次是西班牙 （307%）、法國(guó) （297%）和土耳其 （214%）。

　　來(lái)自7個(gè)國(guó)家的9名黑客的獎(jiǎng)金收入已達(dá)到100萬(wàn)美元。

　　黑客來(lái)自全球各地，遍布226個(gè)國(guó)家和領(lǐng)土。

　　通過(guò) Hack for Good，黑客共捐贈(zèng)3萬(wàn)美元，世界衛(wèi)生組織是第一個(gè)受贈(zèng)方。

　　全球疫情爆發(fā)后是 HackerOne 平臺(tái)上 hacktivity 的激增。新增黑客注冊(cè)數(shù)量增長(zhǎng)了59%，提交的漏洞報(bào)告增加了28%，組織機(jī)構(gòu)支付的獎(jiǎng)金總額提高了29%。

　　不當(dāng)訪問(wèn)控制是接受獎(jiǎng)金最多的弱點(diǎn)類(lèi)型，同比增長(zhǎng)130%。信息泄漏從去年的第一位落到今年的第二位，得到的獎(jiǎng)金總額增長(zhǎng)了60%。

　　全球影響力

　　全球安全漏洞獎(jiǎng)勵(lì)計(jì)劃的數(shù)量增長(zhǎng)驚人，34%的計(jì)劃是在去年推出的。北美仍然占大頭，占比69%，而單是 EMEA 就占據(jù)所有新增計(jì)劃的20%，亞太地區(qū)同比增長(zhǎng)93%。亞太市場(chǎng)正在快速成熟，新加坡的計(jì)劃數(shù)量增長(zhǎng)了164%，中國(guó)增長(zhǎng)了67%、新西蘭增長(zhǎng)了40%。日本、韓國(guó)和泰國(guó)的計(jì)劃數(shù)量也見(jiàn)增長(zhǎng)。

　　黑客獲得的獎(jiǎng)金總額同比增長(zhǎng)了87%。

　　1、獎(jiǎng)金支付 Top 5

　　77%的公開(kāi)漏洞獎(jiǎng)勵(lì)計(jì)劃會(huì)在設(shè)立24小時(shí)內(nèi)收到第一份漏洞報(bào)告。

　　支付獎(jiǎng)金最多的前五個(gè)國(guó)家依次是美國(guó)（3910萬(wàn)美元）、俄羅斯（88.7萬(wàn)美元）、英國(guó)（55.9萬(wàn)美元）、新加坡（50.6萬(wàn)美元）和加拿大（49.7萬(wàn)美元）。其中俄羅斯是新晉玩家，從去年的第六名上升到第二名，而德國(guó)被擠到第六名（36.3萬(wàn)美元）。

　　2、疫情對(duì)安全的影響

　　HackerOne 的調(diào)查發(fā)現(xiàn)，64%的全球安全領(lǐng)導(dǎo)者認(rèn)為自己所在的組織機(jī)構(gòu)會(huì)因?yàn)橐咔槎馐軘?shù)據(jù)泄漏事故，30%表示因疫情而遭受攻擊。遺憾的是，30%的領(lǐng)導(dǎo)者表示疫情導(dǎo)致安全團(tuán)隊(duì)規(guī)模減小。

　　3、誰(shuí)獲得最多獎(jiǎng)金？

　　從地區(qū)分布來(lái)看，亞太地區(qū)獲得的獎(jiǎng)金同比增長(zhǎng)了131%，EMEA 幾乎翻了一番，增長(zhǎng)了90%，北美和拉美的增長(zhǎng)率均超過(guò)60%。

　　從黑客所在國(guó)家的角度來(lái)看，美國(guó)仍然是獎(jiǎng)金霸主，過(guò)去一年斬獲720萬(wàn)美元，同比增長(zhǎng)了63%。不過(guò)美國(guó)的增長(zhǎng)率遠(yuǎn)不如中國(guó)（582%）、西班牙（307%）、法國(guó)（297%）和土耳其（214%）。100個(gè)國(guó)家的黑客收入都在增長(zhǎng)。贏得獎(jiǎng)金最多的黑客所在國(guó)家 Top 5 是美國(guó)、中國(guó)、印度、俄羅斯和德國(guó)。中國(guó)的巨幅增長(zhǎng)使加拿大屈居第六。

　　4、哪些行業(yè)在設(shè)立漏洞獎(jiǎng)勵(lì)計(jì)劃

　　報(bào)告指出，漏洞獎(jiǎng)勵(lì)計(jì)劃多種多樣，服務(wù)目標(biāo)也各不相同。

　　多數(shù)組織機(jī)構(gòu)會(huì)選擇從漏洞披露策略 （VDP） 開(kāi)始設(shè)立漏洞獎(jiǎng)勵(lì)計(jì)劃。漏洞獎(jiǎng)勵(lì)計(jì)劃是黑客驅(qū)動(dòng)安全的最高階表現(xiàn)形式。一般而言，參加公開(kāi)漏洞獎(jiǎng)勵(lì)計(jì)劃的人數(shù)是非公開(kāi)計(jì)劃的五倍。和之前一樣，非公開(kāi)計(jì)劃占 HackerOne 平臺(tái)漏洞獎(jiǎng)勵(lì)計(jì)劃總數(shù)的81%，而余下的19%是公開(kāi)計(jì)劃。

　　哪個(gè)行業(yè)設(shè)立的漏洞獎(jiǎng)勵(lì)計(jì)劃最多？

　　從行業(yè)的角度來(lái)看，密幣和區(qū)塊鏈組織機(jī)構(gòu)設(shè)立的公開(kāi)漏洞獎(jiǎng)勵(lì)計(jì)劃數(shù)量最多，占總數(shù)的43%。醫(yī)療行業(yè)以及北美州政府和地方政府僅設(shè)立非公開(kāi)漏洞獎(jiǎng)勵(lì)計(jì)劃。公開(kāi)漏洞計(jì)劃設(shè)立偏少的行業(yè)是計(jì)算機(jī)硬件和外圍設(shè)備 （7%） 和旅游酒店行業(yè)（8%）。計(jì)算機(jī)軟件和互聯(lián)網(wǎng)及在線服務(wù)行業(yè)的漏洞獎(jiǎng)勵(lì)計(jì)劃非常常見(jiàn)。過(guò)去一年新增的40%的漏洞獎(jiǎng)勵(lì)計(jì)劃屬于計(jì)算機(jī)及軟件與互聯(lián)網(wǎng)和在線服務(wù)行業(yè)，而支付的獎(jiǎng)金占過(guò)去一年總數(shù)的72%還多。不過(guò)其它行業(yè)的增長(zhǎng)率也不容小覷，同比增長(zhǎng)達(dá)到200%及以上的行業(yè)是計(jì)算機(jī)硬件 （250%）、消費(fèi)者商品 （243%）、教育 （200%） 和醫(yī)療 （200%），而媒體及娛樂(lè)行業(yè)增長(zhǎng)了164%，零售和電商翻了一番，金融服務(wù)和計(jì)算機(jī)軟件行業(yè)的增長(zhǎng)率均超過(guò)75%。

　　其它行業(yè)向更多的黑客支付更多的獎(jiǎng)金。支付總額超過(guò)100萬(wàn)美元的行業(yè)包括電信（近250萬(wàn)美元）、金融服務(wù)（近230萬(wàn)美元）、媒體及娛樂(lè)（近183萬(wàn)美元）以及汽車(chē)行業(yè)（近105萬(wàn)美元）。

　　1、行業(yè)巨頭設(shè)立 VDP 的速度仍然緩慢

　　報(bào)告查看了福布斯評(píng)出的Top 2000 全球企業(yè)設(shè)立漏洞披露計(jì)劃的情況，雖然有所改善，但仍然緩慢，如下圖所示：

　　報(bào)告還提到了設(shè)立 VDP 的五個(gè)要素：承諾、范圍、“安全港”、漏洞報(bào)告提交流程和報(bào)告評(píng)估偏好。

　　2、各行業(yè)解決漏洞的速度有多快？

　　幾乎所有的行業(yè)都會(huì)在不到一天的時(shí)間里向黑客做出回應(yīng)。

　　報(bào)告指出，持續(xù)集成和持續(xù)交付已成為 DevOps 團(tuán)隊(duì)的新標(biāo)桿。這使得更多的團(tuán)隊(duì)在安全方面“左移”：改進(jìn)編碼實(shí)踐、在開(kāi)發(fā)過(guò)程中識(shí)別并消除漏洞，以及當(dāng)代碼遷移到生產(chǎn)環(huán)境時(shí)降低風(fēng)險(xiǎn)。而持續(xù)開(kāi)發(fā) （SDLC） 的最佳補(bǔ)充是持續(xù)的安全。

　　獎(jiǎng)金趨勢(shì)（按漏洞嚴(yán)重性和類(lèi)型）

　　了解獎(jiǎng)金趨勢(shì)有助于了解安全風(fēng)險(xiǎn)所在。HackerOne 平臺(tái)使用了 CWE 的數(shù)據(jù)，并基于 CVSS 進(jìn)行嚴(yán)重性評(píng)估。

　　報(bào)告指出，HackerOne 平臺(tái)為嚴(yán)重漏洞頒發(fā)的獎(jiǎng)金中位數(shù)是2500美元，比2019年提高了500美元。嚴(yán)重漏洞可獲得的平均獎(jiǎng)金是3650美元，而去年是3384美元。

　　按地區(qū)劃分的漏洞獎(jiǎng)金支付情況（中位和平均獎(jiǎng)金）

　　北美地區(qū)支付的 Top 10 漏洞

　?。ㄆ骄?263美元，中位：3000美元）

　　EMEA地區(qū)支付的 Top 10 漏洞

　?。ㄆ骄?547美元，中位：1000美元）

　　亞太地區(qū)支付的 Top 10 漏洞

　?。ㄆ骄?893美元，中位：2000美元）

　　拉美地區(qū)支付的 Top 10 漏洞

　?。ㄆ骄?567美元，中位：1800美元）

　　對(duì)嚴(yán)重漏洞的平均獎(jiǎng)金支付（按行業(yè)劃分）

　　對(duì)漏洞的平均獎(jiǎng)金支付（按嚴(yán)重程度劃分）

　　黑客報(bào)告的 Top 10 漏洞

　　另外，HackerOne 舉辦了23場(chǎng)實(shí)時(shí)黑客活動(dòng)，共頒發(fā)900萬(wàn)美元的獎(jiǎng)金，共收到6800份漏洞報(bào)告。

　　黑客

　　報(bào)告指出，HackerOne 平臺(tái)上的注冊(cè)黑客數(shù)量達(dá)到83萬(wàn)人，有9名黑客的累計(jì)收入超過(guò)100萬(wàn)美元，超過(guò)200名黑客在 HackerOne 平臺(tái)上的收入超過(guò)10萬(wàn)美元。過(guò)去一年，廠商共向黑客支付4475萬(wàn)美元。報(bào)告認(rèn)為，黑客的潛在收入要遠(yuǎn)超當(dāng)前的IT全球平均年收入（8,9732美元）。

　　入行hacking 的年限

　　最受黑客青睞的平臺(tái)

　　黑客目前的職業(yè)狀態(tài)

　　Hack 的目的是什么

　　報(bào)告指出，疫情期間的網(wǎng)絡(luò)犯罪活動(dòng)增多，其中大規(guī)模數(shù)據(jù)泄露活動(dòng)在2020年早期相比2019年增長(zhǎng)了273%。

　　報(bào)告最后指出，由黑客驅(qū)動(dòng)的安全是網(wǎng)絡(luò)安全的未來(lái)。

　　現(xiàn)在，未來(lái)已來(lái)。