行業(yè)動態(tài)

HackerOne《2020年黑客驅(qū)動安全報告》:中國白帽子的收入增長幅度最大

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2020-11-11    瀏覽次數(shù):
 

信息來源:Freebuf


HackerOne 發(fā)布了第四份《黑客驅(qū)動安全報告》。報告指出,全球加大了對漏洞獎勵計劃的投入,亞太區(qū)增加了93%,拉美增加了29%。全球所有漏洞獎勵計劃頒發(fā)的獎金同比增長了87%。全球的黑客社區(qū)的規(guī)模和深度也在不斷增強。來自7個國家的9名黑客在該平臺上的收入已經(jīng)超過100萬美元大關(guān)。在疫情期間,黑客每月上報的漏洞數(shù)量比平時增長了28%。在疫情爆發(fā)前,黑客通過投入時間和精力,借由 Hacker for Good 計劃為社會貢獻自己的力量,已向世界衛(wèi)生組織捐獻3萬美元用于抗擊疫情。

關(guān)鍵發(fā)現(xiàn)

目前HackerOne 平臺上的注冊黑客超過83萬名,提交的有效漏洞數(shù)量超過18.1萬個。

嚴(yán)重漏洞獲得的平均獎金增長到3650美元,同比增長8%,任意嚴(yán)重級別的漏洞獲得的獎金平均為979美元,比去年同比增長了9%。

過去一年,為全球黑客支付的獎金總額超過4475萬美元,同比增長87%,截止到2020年5月,支付的獎金總額就超過了1億美元大關(guān)。

美國仍然是漏洞獎勵計劃的頭部玩家,所發(fā)放的獎金超過總額的87%,不過隨著其它地區(qū)漏洞獎勵計劃數(shù)量的增多,這一比例呈現(xiàn)下降趨勢。西班牙方法的獎金同比增長了4321%,巴西增長了1843%,中國增長了1429%,另外還有4個國家加入。

100個國家的黑客收入同比提高,中國黑客的收入增長增速最快,達582%,其次是西班牙 (307%)、法國 (297%)和土耳其 (214%)。

來自7個國家的9名黑客的獎金收入已達到100萬美元。

黑客來自全球各地,遍布226個國家和領(lǐng)土。

通過 Hack for Good,黑客共捐贈3萬美元,世界衛(wèi)生組織是第一個受贈方。

全球疫情爆發(fā)后是 HackerOne 平臺上 hacktivity 的激增。新增黑客注冊數(shù)量增長了59%,提交的漏洞報告增加了28%,組織機構(gòu)支付的獎金總額提高了29%。

不當(dāng)訪問控制是接受獎金最多的弱點類型,同比增長130%。信息泄漏從去年的第一位落到今年的第二位,得到的獎金總額增長了60%。

全球影響力

全球安全漏洞獎勵計劃的數(shù)量增長驚人,34%的計劃是在去年推出的。北美仍然占大頭,占比69%,而單是 EMEA 就占據(jù)所有新增計劃的20%,亞太地區(qū)同比增長93%。亞太市場正在快速成熟,新加坡的計劃數(shù)量增長了164%,中國增長了67%、新西蘭增長了40%。日本、韓國和泰國的計劃數(shù)量也見增長。

黑客獲得的獎金總額同比增長了87%。

1605060384_5fab4720afd918307ba1e.png!small?1605060386255

1獎金支付 Top 5

77%的公開漏洞獎勵計劃會在設(shè)立24小時內(nèi)收到第一份漏洞報告。

支付獎金最多的前五個國家依次是美國(3910萬美元)、俄羅斯(88.7萬美元)、英國(55.9萬美元)、新加坡(50.6萬美元)和加拿大(49.7萬美元)。其中俄羅斯是新晉玩家,從去年的第六名上升到第二名,而德國被擠到第六名(36.3萬美元)。

1605060396_5fab472c3a0f6f8c74efc.png!small?1605060397830

2疫情對安全的影響

HackerOne 的調(diào)查發(fā)現(xiàn),64%的全球安全領(lǐng)導(dǎo)者認(rèn)為自己所在的組織機構(gòu)會因為疫情而遭受數(shù)據(jù)泄漏事故,30%表示因疫情而遭受攻擊。遺憾的是,30%的領(lǐng)導(dǎo)者表示疫情導(dǎo)致安全團隊規(guī)模減小。

3誰獲得最多獎金?

從地區(qū)分布來看,亞太地區(qū)獲得的獎金同比增長了131%,EMEA 幾乎翻了一番,增長了90%,北美和拉美的增長率均超過60%。

從黑客所在國家的角度來看,美國仍然是獎金霸主,過去一年斬獲720萬美元,同比增長了63%。不過美國的增長率遠不如中國(582%)、西班牙(307%)、法國(297%)和土耳其(214%)。100個國家的黑客收入都在增長。贏得獎金最多的黑客所在國家 Top 5 是美國、中國、印度、俄羅斯和德國。中國的巨幅增長使加拿大屈居第六。

1605060416_5fab474004bd0c61cc4db.png!small?1605060417551

4哪些行業(yè)在設(shè)立漏洞獎勵計劃

報告指出,漏洞獎勵計劃多種多樣,服務(wù)目標(biāo)也各不相同。

多數(shù)組織機構(gòu)會選擇從漏洞披露策略 (VDP) 開始設(shè)立漏洞獎勵計劃。漏洞獎勵計劃是黑客驅(qū)動安全的最高階表現(xiàn)形式。一般而言,參加公開漏洞獎勵計劃的人數(shù)是非公開計劃的五倍。和之前一樣,非公開計劃占 HackerOne 平臺漏洞獎勵計劃總數(shù)的81%,而余下的19%是公開計劃。

1605060429_5fab474dd6ae6529d9b7b.png!small?1605060431701

哪個行業(yè)設(shè)立的漏洞獎勵計劃最多?

從行業(yè)的角度來看,密幣和區(qū)塊鏈組織機構(gòu)設(shè)立的公開漏洞獎勵計劃數(shù)量最多,占總數(shù)的43%。醫(yī)療行業(yè)以及北美州政府和地方政府僅設(shè)立非公開漏洞獎勵計劃。公開漏洞計劃設(shè)立偏少的行業(yè)是計算機硬件和外圍設(shè)備 (7%) 和旅游酒店行業(yè)(8%)。計算機軟件和互聯(lián)網(wǎng)及在線服務(wù)行業(yè)的漏洞獎勵計劃非常常見。過去一年新增的40%的漏洞獎勵計劃屬于計算機及軟件與互聯(lián)網(wǎng)和在線服務(wù)行業(yè),而支付的獎金占過去一年總數(shù)的72%還多。不過其它行業(yè)的增長率也不容小覷,同比增長達到200%及以上的行業(yè)是計算機硬件 (250%)、消費者商品 (243%)、教育 (200%) 和醫(yī)療 (200%),而媒體及娛樂行業(yè)增長了164%,零售和電商翻了一番,金融服務(wù)和計算機軟件行業(yè)的增長率均超過75%。

其它行業(yè)向更多的黑客支付更多的獎金。支付總額超過100萬美元的行業(yè)包括電信(近250萬美元)、金融服務(wù)(近230萬美元)、媒體及娛樂(近183萬美元)以及汽車行業(yè)(近105萬美元)。

1605060446_5fab475e1b7fcab80ec9b.png!small?1605060447625

1行業(yè)巨頭設(shè)立 VDP 的速度仍然緩慢

報告查看了福布斯評出的Top 2000 全球企業(yè)設(shè)立漏洞披露計劃的情況,雖然有所改善,但仍然緩慢,如下圖所示:

1605060459_5fab476b695a04107366b.png!small?1605060460975

報告還提到了設(shè)立 VDP 的五個要素:承諾、范圍、“安全港“、漏洞報告提交流程和報告評估偏好。

2各行業(yè)解決漏洞的速度有多快?

幾乎所有的行業(yè)都會在不到一天的時間里向黑客做出回應(yīng)。

1605060474_5fab477a240edde04c2b2.png!small?1605060475696

報告指出,持續(xù)集成和持續(xù)交付已成為 DevOps 團隊的新標(biāo)桿。這使得更多的團隊在安全方面“左移“:改進編碼實踐、在開發(fā)過程中識別并消除漏洞,以及當(dāng)代碼遷移到生產(chǎn)環(huán)境時降低風(fēng)險。而持續(xù)開發(fā) (SDLC) 的最佳補充是持續(xù)的安全。

獎金趨勢(按漏洞嚴(yán)重性和類型)

了解獎金趨勢有助于了解安全風(fēng)險所在。HackerOne 平臺使用了 CWE 的屬于,并基于 CVSS 進行嚴(yán)重性評估。

報告指出,HackerOne 平臺為嚴(yán)重漏洞頒發(fā)的獎金中位數(shù)是2500美元,比2019年提高了500美元。嚴(yán)重漏洞可獲得的平均獎金是3650美元,而去年是3384美元。

1605060492_5fab478c4caf3d3737294.png!small?1605060493841

1605060505_5fab479902d5be6c537ce.png!small

按地區(qū)劃分的漏洞獎金支付情況(中位和平均獎金)


1605060531_5fab47b358d5448c6aae6.png!small?1605060532881

1605060567_5fab47d7c3e473c18b5b2.png!small?1605060569668

北美地區(qū)支付的 Top 10 漏洞

1605060580_5fab47e46445150cf3219.png!small?1605060581921


(平均:4263美元,中位:3000美元)

EMEA地區(qū)支付的 Top 10 漏洞

1605060600_5fab47f8dd5b8b283af95.png!small?1605060602436

(平均:1547美元,中位:1000美元)


亞太地區(qū)支付的 Top 10 漏洞

1605060616_5fab4808c342d23d99659.png!small?1605060618354

(平均:1893美元,中位:2000美元)

拉美地區(qū)支付的 Top 10 漏洞

1605060641_5fab48217f92c6af954b4.png!small?1605060643090


(平均:2567美元,中位:1800美元)

對嚴(yán)重漏洞的平均獎金支付(按行業(yè)劃分)

1605060650_5fab482a75f1e0fa19998.png!small?1605060652015

對漏洞的平均獎金支付(按嚴(yán)重程度劃分)

1605060660_5fab4834f144b727d0f37.png!small?1605060662550

黑客報告的 Top 10 漏洞

1605060672_5fab4840455766c4f4911.png!small?1605060673767

另外,HackerOne 供舉辦了23場實時黑客活動,共頒發(fā)900萬美元的獎金,共收到6800份漏洞報告。

黑客

報告指出,HackerOne 平臺上的注冊黑客數(shù)量達到83萬人,有9名黑客的累計收入超過100萬美元,超過200名黑客在 HackerOne 平臺上的收入超過10萬美元。過去一年,廠商共向黑客支付4475萬美元。報告認(rèn)為,黑客的潛在收入要遠超當(dāng)前的IT全球平均年收入(8,9732美元)。

入行hacking 的年限

1605060689_5fab485178eab0960a5b1.png!small?1605060690986

最受黑客青睞的平臺

1605060698_5fab485a6e3e12ed11a0a.png!small?1605060699987

黑客目前的職業(yè)狀態(tài)

1605060706_5fab486232dbe6a16af17.png!small?1605060708023

Hack 的目的是什么

1605060713_5fab4869d0bd010cb5780.png!small?1605060715377


報告指出,疫情期間的網(wǎng)絡(luò)犯罪活動增多,其中大規(guī)模數(shù)據(jù)泄露活動在2020年早期相比2019年增長了273%。

報告最后指出,由黑客驅(qū)動的安全是網(wǎng)絡(luò)安全的未來。

現(xiàn)在,未來已來。


 
 

上一篇:2020年11月10日聚銘安全速遞

下一篇:臺灣筆記本電腦制造商仁寶遭勒索軟件襲擊,贖金高達1700萬美元