漏洞5万美元一个贵不贵？

本文转载自微信公众号“数世咨询”（dwconcn）。

高额漏洞赏金引人瞩目，但并未缓解应用安全缺陷。

Zoom最近将其众包安全项目发放的漏洞赏金单价提升到了最高5万美元。高额赏金登上媒体头条，吸引安全人才纷纷投入挖洞领赏事业，但也提出了一个问题：漏洞到底值多少钱?

前渗透测试员和Bugcrowd Top10研究员，CDL现任首席信息安全官Alex Haynes与您分享他对漏洞价值几何的看法。

几年前，Zoom的众包安全项目才刚刚成立的时候，我在Zoom的产品中找到了几个漏洞。其中三个漏洞已经有其他人在我之前发现了，这在众包安全领域称为“重复”，意味着就算漏洞有效你也拿不到报酬。

第四个漏洞就有意思了：新冠肺炎疫情刚爆发的时候Zoom使用率不是暴增么?审查力度自然也就水涨船高，然后就发现同样的漏洞又出现了。我将这个漏洞标记为“潜在不安全URI可导致本地文件包含、命令注入或远程连接”，当初我就是这么利用的。总结一下就是：你可以在聊天中向对方发送看起来很像链接的统一资源标识符(URI)，这些URI能干各种各样的事，比如打开恶意网站、下载文件，甚至在用户的系统上执行各种命令。(神奇的是，连gopher://协议都不在话下。)2020年初重现的这个漏洞与之雷同，主要利用通用命名约定(UNC)路径将NT LAN Manager(NTLM)凭证发往攻击者的域。

通报这个漏洞最终让我得到了高达50美元的“巨资”，漏洞“上达天听”的整个过程耗时约半年。两年后，我收到一条消息称漏洞被修复了，问我有没有时间检查一下补丁。(我没时间。)时至今日，众包安全领域掏钱爽快多了，但屡屡惊掉下巴的巨额赏金掩盖了真正的问题：我们真的值得为一个漏洞支付5万美元吗?

高额赏金危害从业人员和产品

当然，此类数目并非没有前例。疫情高峰时，适用于Windows应用的Zoom零日漏洞据称卖出50万美元高价，还有Zerodium等公司在漏洞交易“灰色市场”上频繁流通此类漏洞。

说到灰色市场就扯远了，我们说回眼前的问题：众包安全项目不断高企的赏金支出存在诸多弊端。虽然主要目的是增加项目的吸引力(记住，众包项目依赖奥威尔式零工经济，也就是说除非找到有效漏洞，否则你分文不得)，但高额赏金也存在从全职或劳务派遣等合法安全领域不断吸血安全人才的反效果。

而且，流入生产环境后的漏洞修复成本也得考虑进去。有这5万美元，用来堵住漏洞根源和施行“安全左移”不是多好?最起码，这笔钱可以用来做下面这几件事：

• 聘用全职应用安全工程师
• 执行10到20次渗透测试或代码审查(取决于日薪)
• 购买全套自动化渗透测试软件
• 全面部署和实现千万行代码级静态应用安全测试(SAST)软件(代码扫描/依赖)
• 培训成百上千名开发人员安全编程技术

做到上述任何一条，众包项目报告的这些漏洞都可以远远早于进入生产环境之前就识别出来，而且成本还低得多。虽说漏洞奖励可以抵消最终漏洞利用的金融冲击，但如果采取安全左移方法，抵消效果还能大上十倍。如果在进入生产环境前SAST或应用安全工程师，甚或代码审查就发现了10个漏洞，那么代码重构和为单个漏洞单独发布一个构建的额外开支就省了下来。

揪住根源而非症状

众包安全加剧了追逐症状而非根源的问题，一味提高赏金数额并不会缓和需要解决的结构性问题：良好的应用安全。网络安全技术领域那一大堆IAM、WAF、DAST、SIEM等等产品的问题与之类似，很多技术不过是在一条全面的应用安全流水线就能解决的问题上再包上几层绷带。

单个漏洞五位数的赏金并不意味着安全状况立马得到改善。在确定漏洞赏金数额的时候，如果问题变成了“这个漏洞是不是太贵了?”，那你就应该问问自己“我安全左移到位没有?”了。