HackerOne《2019年黑客驱动安全》报告来了：看完你还坚持挖吗？

HackerOne 平台目前的注册的黑客数量已达50万名。HackerOne 已经帮助1400名客户组织机构发现并修复超过12万个漏洞，并为黑客带来6200多万美元的赏金，其中近一半赏金是在去年一年颁发的。四分之一的有效漏洞的危害等级为严重或高危。每当发布新的漏洞奖励计划，在77%的情况下黑客会在发布后的24时内找到第一个有效漏洞。

当今社会对黑客的包容度很高。由黑客驱动的安全已然成为成熟积极的安全计划的既定部分。出现这种情况的原因也显而易见。传统的安全措施已经跟不上产品创新的步伐，而和黑客合作能够让企业和创新步调一致地确保产品的安全性。

由黑客驱动的安全计划在全球范围内快速地遍地开花。去年，拉美的黑客驱动安全计划的数量增长率超过41%，而美国联邦政府部门中的数量增长率达到214%。

专业性和黑客工作的积极影响也在不断变化。去年，HackerOne 平台为发现严重漏洞的研究人员共颁发511个赏金为10万美元的漏洞奖励计划，比去年翻了四番。严重漏洞的平均赏金额一年内增长了近50%，达到3384美元。而相对于企业因漏洞而遭受数据泄露等事件影响的成本而言，赏金额可以说低得离谱。

黑客赏金从个体和整体来看都在上升。美国、印度、俄罗斯、加拿大和德国是提供赏金最多的国家。单在去年，就有50名黑客获得超过10万美元的赏金，6名黑客迄今为止赚取的赏金超过100万美元。

全社会都在拥抱黑客工作的积极力量。各国出台相关法案来推动黑客驱动的安全生态。

另外，黑客驱动的安全也越来越多地出现在风险规避和受高度管制的行业，如金融服务业、银行业、保险业、医疗保健和教育业。

报告数据基于HackerOne 社区的黑客以及所报告和解决的漏洞数据库。除非特别说明，本报告基于2018年5月至2019年4月为期一年的数据。

抵达数字安全世界的唯一路径是承认所有软件均包含漏洞，而外部不含偏见的眼睛是发现这些漏洞的最佳利器。

关键数据

每隔5分钟就有一名黑客在报告漏洞。每隔60秒，就有一名黑客和一家组织机构在 HackerOne 平台达成合作。也就是每天的交互次数超过1000次。

截止到2019年8月份，超过45万名黑客注册了 HackerOne，并且发现了传统检测方法错过的漏洞。这些受信任的黑客（90%的黑客年龄低于35岁）在确保大小型组织机构的安全方面发挥了重要作用。黑客提交的有效漏洞总数超过12万个，HackerOne 平台颁发的赏金总额超过6200万美元。

概念：什么是“黑客驱动安全 (Hacker-Powered Security)”？

报告指出，“黑客驱动安全”是指任何以目标为导向的黑客技术，通过外部黑客社区力量发现已知的安全漏洞并降低网络风险。常见的例子包括：受邀制漏洞奖励计划、公共漏洞奖励计划、时效性漏洞奖励计划、黑客驱动的渗透测试合规活动、以及漏洞披露策略。通过黑客驱动的安全测试活动，组织机构能够在以结果为导向的道德黑客社区的帮助下更快地找到高价值漏洞。

1、在报告覆盖的时间范围内，严重漏洞的平均赏金增长至3384美元，比去年的平均水平（2281美元）增长了48%，较2016年的平均水平（1977美元）增长了71%。严重程度较低的漏洞能够带来的赏金数额也在不断增长，HackerOne 平台的平均漏洞赏金较去年增长了65%。

2、美国联邦政府的行业同比增长率最高，达到214%，去年首次出现由城市政府机构发布的漏洞奖励计划。汽车（增长113%）、电信（增长91%）、消费者商品（增长64%）以及密币和区块链（增长64%）行业紧追其后。这是连续五年来，每个行业都以新设漏洞奖励计划的方式越来越多地参与到由黑客驱动的安全市场中。

3、大部分（79%）漏洞奖励计划仍然实行受邀制，较前几年变化不大。参与公共漏洞奖励计划积极性最高的是技术行业的黑客，其参与人数是受邀制漏洞奖励计划参与人数的6倍。在这些参与热情高涨的技术行业中，互联网和网络服务占比32%、计算机软件占比22%、密币和区块链以及媒体和娱乐行业各占比9%。去年，共有50个漏洞奖励计划从受邀制转为公开性质。

4、当前北美地区百分之六十的金融服务组织机构都在 HackerOne 平台上运行着由黑客驱动的安全计划。今年，金融服务组织机构运行的黑客驱动安全计划数量增长了41%。

5、6名黑客获得超过100万美元的赏金，另有7名黑客的赏金数额超过50万美元，而超过50名黑客单在去年就获得超过10万美元的赏金。技术高超且专心致志的黑客有希望以此为职业，通过由黑客驱动的安全生态提供的机会过上优渥的生活。

6、黑客驱动安全的全球化趋势仍在继续。多个国家进入赏金贡献前十大榜单，遍布19个国家的黑客去年共赚取超过10万美元的赏金，而且更多国家的更多组织机构正在举办实时黑客活动。HackerOne 已经向112个国家（占全球国家总数的57%）的黑客发放了赏金，且收到的漏洞报告数量来自163个国家（占全球国家总数的84%）。

7、随着组织机构正借助黑客对实际模拟的真实攻击进行安全测试，由黑客驱动的渗透测试数量也在增长。某家组织机构最近发布了一份报告，详细说明了由黑客驱动的渗透测试如何帮助他们降低了156,784美元的成本，通过在三年的时间里减少内部安全和应用程序开发工作的方式额外节约了384,793美元。

如今，由黑客驱动的安全奖励计划已从北美蔓延至全球。每个地区的由黑客驱动的安全奖励计划的数量至少增长了30%，其中拉美以同比超过41%的增长率领跑，其次是北美（34%）、EMEA（32%）和APAC（30%）。

在全球黑客赚取的赏金中，83%来自位于美国的组织机构，该比例和去年持平。加拿大和英国组织机构仍然是第二大和第三大赏金来源国，而以色列和比利时首次冲进赏金来源国前十大榜单。

不论身处何地，黑客赚取的赏金仍在持续上涨。仅在去年就有超过50名黑客赚取了10万或更多的赏金。近几个月来，6名黑客升级为百万赏金得主，另有其他7名黑客赚取的赏金总额超过50万美元。这些赏金领跑者和寻求黑客帮助的组织机构一样遍布全球：阿根廷、澳大利亚、比利时、加拿大、中国香港、瑞典和美国。

去年，赚取赏金最多的黑客来自美国，他们赚取了19%，其次是来自印度(10%)、俄罗斯 (6%)、加拿大 (5%) 和德国 (4%)。而相比2017年，来自加拿大的黑客赚取的赏金增长率最高，达到148%。

最多产的黑客居住在埃及、阿根廷、瑞典和泰国。相比去年，这些国家的黑客赚取的赏金总计增长200%或更多，其中泰国的黑客在去年赚取的赏金比2017年多457%。

互联网的全球化推动了黑客社区的成长，后者又进一步推动了有黑客驱动的安全奖励计划的增长。充满智慧、富有创意的黑客能够接触到来自世界任意角路的诱人且充满挑战的网络安全机会，而他们需要的仅仅是互联网连接。同样，当智能组织机构想要聘请最佳黑客人才时，也能够向外寻求。

多样化如冰岛、加纳、斯洛伐克、阿鲁巴和厄瓜多尔的国家也拥有具有足够意志坚定、技术高超和渴望成功的黑客，他们的数量和你所设想的黑客家园如印度、美国、俄罗斯、巴基斯坦和英国的黑客数量一样多。同样，阿根廷和奥地利、伯利兹和比利时、塞浦路斯和智利，以及澳大利亚、巴西、中国等等国家的组织机构也在提高自身的网络安全水平。

欧盟颁发的《通用数据保护条例 (GDPR)》、欧洲策略研究中心 (CEPS) 在欧盟范围内发布的漏洞披露指南等法规推动了由黑客驱动的安全奖励计划的全球化发展。但各个政府机构也为该计划的全球化贡献了力量。

具体从组织机构的规模来看，和前几年相比，发布奖励计划的企业数量增长了82%。去年引人注目的由黑客驱动的安全漏洞奖励计划包括由如下组织机构发布的计划：Priceline、Capital One、Hyatt、Backblaze、TomTom、Trustpilot、Credit Karma、Postmates、EU FOSSA、Magento、Ford、Grammarly、FanDuel、Flickr、Casper、阿里巴巴、PayPal 和 IBM。

除了在互联网外，HackerOne还通过实时黑客比赛活动将全球黑客汇聚一堂。近期的实时黑客比赛活动在旧金山、伦敦、阿姆斯特丹、新加坡、拉斯维加斯等地举办。

漏洞奖励计划是由黑客驱动安全的最高级表现形式，它持续提供安全测试和黑客社区提交的漏洞报告。漏洞奖励计划分公共和受邀制两种。参与公共漏洞奖励计划提交有效漏洞的黑客人数是受邀制计划人数的6倍，几乎比去年翻了一番。

和前几年一样，受邀制漏洞奖励计划的数量占比79%，公共漏洞奖励计划占比21%。组织机构的安全团队从受邀制漏洞奖励出发，可以和数量较少的黑客一起发现未知且容易被找到的漏洞并据此排列内部安全进程的优先顺序，这就使得他们能够应付漏洞报告的数量和类型，而后再升级到公共漏洞奖励计划。去年，50个受邀制漏洞奖励计划专为公开性质。

多数公共漏洞奖励计划由技术公司运行，其中互联网和在线服务占比32%，其次为计算机软件（占比22%），之后是密币和区块链以及媒体和娱乐各占9%。受邀制漏洞奖励计划的分布情况也类似：互联网和在线服务以27%的比例领跑，其次为计算机软件 (21%)、金融服务和保险 (8%)、媒体和娱乐 (7%) 以及计算机硬件 (5%) 与零售和电商 (5%)。

连续五年来，每个行业都以新设漏洞奖励计划的方式越来越多地参与到由黑客驱动的安全市场中。美国联邦政府的行业同比增长率最高，达到214%，其次是汽车（增长113%）、电信（增长91%）、消费者商品（增长64%）以及密币和区块链（增长64%）行业。

技术企业以60%的参与比例仍然领跑所有活跃的漏洞奖励计划，其中互联网和在线服务 (28%) 以及计算机软件 (21%) 综合占比近50%。不过随着漏洞奖励计划在非技术行业的快速发展，金融服务和保险 (8%)、媒体和娱乐 (7%) 以及密币和区块链(5%) 也跻身所有参与公开漏洞奖励计划的前五大行业行列。

当前北美地区百分之六十的金融服务组织机构都在 HackerOne 平台上运行着由黑客驱动的安全计划。今年，金融服务组织机构运行的黑客驱动安全计划数量增长了41%。

另外，美国各州和各地方政府在安全投入方面首次出现增长情况。

截止到2019年5月，HackerOne 平台共解决了超过12.3万个唯一的有效漏洞，其中单去年就解决了其中25%的漏洞。这些漏洞都代表被安全缓解的真实安全风险。

按行业划分，黑客在HakcerOne 平台上报告的十大最常见漏洞类型如下图所示。它们分别是跨站点脚本 (XSS)、信息暴露、访问控制不当、违反安全设计原则、认证不当、跨站请求伪造 (CSRF)、开放的重定向、业务逻辑错误、权限提升、不安全的直接对象引用 (IDOR)、服务器端请求伪造 (SSRF)、代码注入、SQL 注入、拒绝服务和加密漏洞。

值得注意的几点是：

在70%的情况下，组织机构会在公共漏洞奖励计划发布的24小时内收到第一个漏洞报告。而对于美国陆军而言，赏金计划发出5分钟后就收到了漏洞报告。组织机构的快速响应不能能够通过修复漏洞保护自身和客户的安全，而且还能吸引更多的黑客加入计划，它是评估漏洞奖励计划是否健康的一个关键指标。

报告指出，表现最好的漏洞奖励计划不仅能吸引新的黑客加入，还能留住黑客。这些忠诚黑客提交的漏洞报告被解决的次数多而且得到的赏金也最多。黑客在某个特定软件上花费的时间越久，那么提交的漏洞报告就越有价值。因此建设黑客忠诚度十分重要。

从 HackerOne 平台的数据来看，解决漏洞所耗费的中位数时间是17天，而在去年这一数字是22天。消费者商品行业解决问题的速度最快，只要两天。前十大解决漏洞最及时的行业是密币和区块链（7天）、医疗行业（11天）、金融服务和保险行业（12天）以及专业服务（12天）和媒体和娱乐行业（12天）。解决速度最慢的是受高度管制的行业，它们的软件栈复杂而且/或具有集成供应链，它们是教育行业（62天）、航空航天行业（57天）以及联邦政府机构（55天）。

按支付赏金的速度来看，支付最快的是地方政府机构（不到1天）。消费者商品、专业服务和教育行业支付赏金的中位数均为不到两天。支付赏金速度最慢的行业是航空航天（26天）、电子和半导体（17天）以及计算机硬件（17天）行业。

所有行业都倾向于在解决问题之前（验证之后）支付赏金，这反映了各行业对黑客工作的认可。越来越多的企业开始在问题解决后邀请黑客进行验证，以确保补丁确实解决了所报告的漏洞问题。

报告以 Verizon Media 安全团队的做法为例，说明补丁修复之后才是组织机构工作的开始。安全团队以收到的漏洞作为新的测试案例。某种类型的漏洞被上报的次数增多后，他们会合产品开发人员构建一个新的库，甚至和架构师一起设计新的控制。即该公司的漏洞奖励计划的生命周期为：部署---测试---构建---设计---需求，而常见的软件开发生命周期为：需求---设计---构建---测试—部署。

HackerOne 平台上严重级别的漏洞的赏金中位数为2000美元，比2017年的中位数1250美元增长了60%。去年，严重级别漏洞的平均赏金金额增长到3384美元，比去年的2281美元上涨了48%，比2016年的1977美元增长了71%。随着组织机构修复的漏洞越来越多，对攻击面的加固越来越强，赏金数额自然会根据时间的变化不断增加，因为漏洞越来越难以挖掘，因此需要黑客投入更多的技术和精力。

从严重程度看漏洞

严重漏洞在所有漏洞报告中的比例仅超过7%。影响力最大的漏洞（严重和高危漏洞）的份额连续三年出现上涨趋势，从2016年的22%增长到2017年的24%以及今年的25%。

不同行业严重漏洞报告获得的平均赏金

从漏洞严重性看赏金竞争力

表现好的漏洞奖励计划付给黑客的严重漏洞的赏金更高。HackerOne 平台上对严重漏洞的平均赏金为2万美元，集中在赏金竞争力1%的区间，这个趋势和去年一样。截至目前，HackerOne 平台最大的单个漏洞赏金额仍然是10万美元，最引人注意的是英特尔公司为一个新的 Spectre 漏洞变体颁发了10万美元的奖励。

相比较而言，60%的组织机构对严重漏洞的平均赏金是4000美元，而去年是1000美元。

刚设立的漏洞奖励计划发放的赏金额处于平均或低于平均的水平。在多数情况下，从给3万美元赏金的组织机构中找到严重漏洞的难度要高于提供5000美元赏金的组织机构。

漏洞赏金竞争力

从2012年到2019年5月份，组织机构支付的赏金总额超过5100万美元，而其中近一半的赏金是去年提供的。

去年支付的最高赏金仍为10万美元。密币和区块链、媒体和娱乐行业、技术和典型行业提供的最高赏金为2万及以上。在所有行业中，511个赏金计划在去年提供的最高赏金超过1万美元，而去年达到该数目的只有116个赏金计划，增长了340%。

不同行业支付的最高赏金对比

不同行业支付的总赏金对比

信噪比

信噪比用于衡量基于所提交漏洞报告的有效性而得出的漏洞奖励计划的提交质量。“信号”表示收到的有效漏洞报告的数量，而“噪音”是指所收到的无效漏洞报告的数量。信噪比越高，说明收到的有效报告越多。HackerOne 在这部分主要是说明该平台能够提供高信噪比的服务（感兴趣的可自行查阅，此处略）。

漏洞披露策略

HackerOne 报告指出，每个漏洞披露策略 (VDP) 均需要具备如下5个重要组件：

每年，HackerOne 平台都会分析福布斯全球2000最具价值的公共企业，作为采用公共漏洞披露策略的基准。从2017年福布斯全球2000清单来看，93%的福布斯全球2000强企业并不具备已知漏洞的披露策略，而这一比例在2016年是94%。漏洞披露策略在降低风险方面发挥着重要作用，因为近四分之一的黑客并不会报告所找到的漏洞，理由是公司不具备披露渠道。

报告还介绍了HackerOne Challenge 提出的由黑客驱动的渗透测试方法论，它利用结合激励措施驱动的漏洞测试和目标测试来查找某种特定的漏洞类别。这种方法扩大了测试的多样性、证实地模拟实际攻击、强调发现可利用且影响力大的漏洞，同时推动了对最现代化测试工具和技术的使用，从而极大地降低了企业的安全风险成本。

另外报告还提到了网络安全保险行业，如何通过黑客驱动安全来降低安全风险。

如今，整个社会认识到了黑客的积极影响，而不是和犯罪联系在一起。

黑客是谁？他们的动机是什么？

年轻、对知识的渴求以及富有创造力是黑客群体的特征。90%的黑客年龄低于35岁，80%的黑客是自学。黑客源自各行各业，而并非只有技术行业。他们在工作中投入的时间要高于2018年，超过40%的黑客每周在黑客工作上花费的时间超过20小时。

黑客的动机不仅仅是赏金。41%的黑客从事黑客活动是为了学习并获得职业和个人成长，13%的黑客纯粹是兴趣使然，仅有14%的黑客直奔赏金而来。

捕猎漏洞经济

印度、美国、俄罗斯、巴基斯坦和英国是拥有黑客数量最多的国家，占据 HackerOne 平台黑客总人数的51%。六个非洲国家在2018年首次参与平台活动。印度和美国的黑客占据平台总人数的38%，而在2018年这一比例是43%，这说明全球参与度提高。

产生这种全球化趋势的部分原因是由黑客驱动的安全计划创造机会。HackerOne 平台上的赏金高手所赚取的赏金最高是软件工程师在自己国家中位数年薪的40倍。某些黑客仅通过一个严重的漏洞就赚取了10万美元的赏金。去年，几十个客户因为启动漏洞奖励计划而遇到黑客继而发出聘请书。

另外，报告还说明了HackerOne平台举行的实时黑客比赛活动以及所衍生的导师计划和社区日等活动。该平台提供了多种教育活动，如免费的 hacker101 web安全培训系列课程和Hacker101 CTF 系列黑客活动。

最后报告还简述了由黑客驱动的安全计划的历史。

完整报告可见：

题外话：

外媒 Bleeping Computer 报道称，黑客在为时三天的实时黑客比赛中共赚取190万美元的赏金。就像上面完整报告中提到的那样，这次实时比赛不仅仅针对的是经验丰富的黑客，而且还提供了导师计划，向与会人员介绍安全概念、工具、以及黑客思维的基本要素，还有各种安全缺陷如何运作的内容。最后，一名罗马尼亚籍的安全研究员 Cosmin Iordache拔得头筹，成为最具价值的黑客。他在今年年初曾参加新加坡的一场实时黑客活动，找到Dropbox 产品中的一个漏洞并因此赢得2.3万美元的赏金。

奇安信代码卫士公众号曾在上周和本周三也就是昨天做了一个小调查。现在发布下目前的投票结果。

这些数据说明什么？最起码有一点：赏金将黑客人才聚集在了一起。还有围墙效应？正在挖洞的人深知其中的艰辛，有部分人选择继续坚持，有部分人已经开始逃离；对挖洞了解不太多的大白小白们却摩拳擦掌跃跃欲试。又或者是无限风景在险峰？只有坚持挖洞的才有可能挺到最后，得到百万赏金走上人生巅峰？

那么，你正在挖洞、准备入坑还是弃坑？为什么？在留言区说出你的故事，我们一起聊聊。

原文链接

题图：Pixabay License

文内图：HackerOne

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”