微軟的漏洞賞金計劃已經推出十個年頭。在這十年時間里,微軟累計向安全研究人員支付了 6,300 萬美元(折合人民幣約 4.5 億元)獎金,其中有 6,000 萬美元是在過去五年中支付的。
微軟官方也在慶祝漏洞賞金計劃推出十周年的文章提到,自 2013 年成立以來,微軟已向來自 70 個國家的數千名安全研究人員提供了超過 6000 萬美元的資助。這些研究人員根據協調漏洞披露發現并報告了漏洞,幫助微軟應對不斷發展的安全威脅形勢和新興技術。
在賞金計劃上狠狠“砸錢”
2013年,微軟正式啟動漏洞賞金計劃,專注于 windows 8.1 和 Inte.NET Explorer 11 中的漏洞。最初,微軟每年收到的漏洞報告不到 100 份,只有幾十名研究人員參與,每年獲得數十萬美元的獎勵。
2019 年初,微軟改進了賞金計劃,增加了對漏洞賞金的投資,將最具影響力報告的獎勵金額提高到行業平均水平的 2 至 10 倍。
這一策略在快速擴大賞金計劃項目上取得了巨大成功。在 2019 財年,微軟賞金報告、計劃參與者和獎勵數量比上一年增加了一倍多。從 2020 年開始,微軟每年向大約 300 名研究人員 提供超過 1300 萬美元的資助,而且這一數額還在不斷增加。
2020 年 7 月,微軟推出了基于場景類別的賞金計劃,用于發現對客戶隱私和安全構成嚴重風險的漏洞,這一計劃獎金額度更高,最高可達10萬美元。微軟方面表示,研究人員齊心協力,發現的零點擊遠程代碼執行 (RCE) 或跨租戶漏洞的數量同比增加了50%以上。”
如今,微軟正在運行 17 個漏洞賞金計劃,涵蓋Azure、Edge、Microsoft 365、Windows、Xbox 等產品。針對 Hyper-V 虛擬機管理程序中影響較大的漏洞提供高達 25 萬美元的獎勵。
軟件真的更安全了嗎?
漏洞賞金計劃看上去是高效暴露漏洞的萬靈丹,但這樣做真的能確保軟件安全嗎?
曾在微軟任職 7 年,并致力于推動賞金計劃實施的 Katie Moussouris 給出了否定的答案。更諷刺的是,她將此歸因于漏洞賞金平臺的興起,以及開發人員把重點放在漏洞披露計劃和賞金上,而不是做安全軟件開發的工作。
她解釋稱:“這兩項都在投資范圍內,賞金是一部分,更重要的是你要真正解決漏洞問題。”
Moussouris 的理念是,必須盡可能多地防止漏洞和修復漏洞,才可以公開漏洞披露或漏洞獎勵計劃。
除了 Moussouris 提到的開發人員應該關注的工作重點,有調研機構從人性的視角審視了這個問題:如果所謂的道德黑客中有人不那么道德會怎樣?如果粗心大意的賞金獵手就是沒能報告漏洞會如何?如果沒報告的漏洞后續暴露出來可能導致公司無法承擔的代價會怎樣?
有報告指出,典型的漏洞賞金計劃為快速發現漏洞問題提供了激勵,這種操作理論上很高產,但并不能抹殺恰當審查的必要性和保障計劃覆蓋整個攻擊界面的重要性。
不能只用金錢來評估項目是否成功
為了使軟件和硬件產品更加安全,Moussouris 建議形成“具體的反饋循環”,將漏洞獎勵學習反饋到組織的安全開發生命周期中。
此外,那些管理獎金的人應該制定“更有意義的指標”來評估他們的項目是否成功,而不僅僅是通過向多少研究人員支付了多少現金來評估。
Moussouris 提出,“我們必須明確建立一個明確的標準,將漏洞賞金計劃和安全開發生命周期聯系起來。比如通過賞金計劃是否減少或消除了各種漏洞?以及修復關鍵漏洞的平均時間是否減少?如果沒有,那么就要根據情況適當分配資源。”
參考鏈接:
https://www.theregister.com/2023/11/22/microsofts_bug_bounty_moussouris/
https://msrc.microsoft.com/blog/2023/11/celebrating-ten-years-of-the-microsoft-bug-bounty-program-and-more-than-60m-awarded/
