本文转载自微信公众号“数世咨询”(dwconcn)。
高漏洞赏金引人注目,但并未缓解应用安全缺陷。
Zoom最近,众包安全项目发放的漏洞赏金单价提高到更高5万美元。高赏金已成为媒体头条新闻,吸引安全人才投资挖洞和欣赏,但也提出了一个问题:漏洞值多少钱?
前渗透测试员和Bugcrowd Top10研究员,CDL现任首席信息安全官Alex Haynes与您分享他对漏洞价值几何的看法。
几年前,Zoom当众包安全项目刚刚成立时,我在Zoom在产品中发现了几个漏洞。其之前发现了三个漏洞,在众包安全领域被称为“重复”,这意味着即使漏洞有效,你也得不到报酬。
第四个漏洞很有意思:新冠肺炎疫情刚爆发时Zoom利用率不是飙升吗?审查自然会上升,然后发现同样的漏洞又出现了。我把这个漏洞标记为“潜在不安全URI本地文件可能包括命令注入或远程连接”,我就是这么用的。综上所述,你可以在聊天中向对方发送看起来像链接的统一资源标识符号(URI),这些URI能做各种事情,比如打开恶意网站,下载文件,甚至在用户系统上执行各种命令。(神奇的是,连gopher://协议不在话下。)2020年初重现的漏洞与之相似,主要采用通用命名协议(UNC)路径将NT LAN Manager(NTLM)向攻击者域发送凭证。
通知这个漏洞最终给了我50美元。“巨资”,漏洞“上达天听”的整个过程耗时约半年。两年后,我收到一条消息称漏洞被修复了,问我有没有时间检查一下补丁。(我没时间。)时至今日,众包安全领域掏钱爽快多了,但屡屡惊掉下巴的巨额赏金掩盖了真正的问题:我们真的值得为一个漏洞支付5万美元吗?
高奖金危害员工和产品
当然,这样的数字并非没有前例。适用于疫情高峰期Windows应用的Zoom据说零日漏洞高价卖出50万美元Zerodium等待公司在漏洞交易“灰色市场”这类漏洞经常流通。
说到灰色市场,我们回到我们面前的问题:众包安全项目的高赏金支出存在许多缺点。虽然主要目的是增加项目的吸引力(记住,众包项目依赖奥威尔零工经济,也就是说,除非你找到有效的漏洞),但高赏金在 *** 或劳务派遣等合法安全领域不断吸收安全人才
此外,还必须考虑流入生产环境后的漏洞修复成本。这5万美元用于堵塞漏洞的根源和实施“安全左移”不是很好?至少这笔钱可以用来做以下事情:
- 聘用 *** 应用安全工程师
- 进行10-20次渗透测试或代码审查(取决于日薪)
- 购买 *** 自动渗透测试软件
- 全面部署和实现数千万行代码级静态应用安全测试(SAST)软件(代码扫描/依赖)
- 培训数百名开发人员安全编程技术
为了实现上述任何一个,众包项目报告中的这些漏洞可以在进入生产环境之前识别得更早,而且成本要低得多。虽然漏洞奖励可以抵消最终漏洞使用的财务影响,但如果采用安全左移 *** ,抵消效果可以达到十倍以上。如果在进入生产环境之前SAST或者应用程序安全工程师,甚至代码审查发现了10个漏洞,然后节省了代码重构和单独发布单个漏洞的额外费用。
抓住根源而不是症状
众包安全加剧了追求症状而不是根本原因的问题。盲目增加奖励金额不会缓解需要解决的结构性问题:良好的应用安全。 *** 安全技术领域有很多IAM、WAF、DAST、SIEM等等,产品的问题也差不多,很多技术只是包几层绷带,可以通过综合应用安全流水线来解决。
单个漏洞五位数的赏金并不意味着安全状况立即得到改善。在确定漏洞赏金金额时,如果问题变成“这个漏洞太贵了吗?”,那你就应该问问自己“我安全左移到位了吗?”了。