https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

抓漏達人!2021年值得關注的5大漏洞賞金平台

2021 / 02 / 22
編輯部
抓漏達人!2021年值得關注的5大漏洞賞金平台
儘管Gartner還沒有專門的Bug賞金或眾包(群眾外包)安全測試魔力象限,但Gartner Peer Insights已經在「APP眾包測試服務」類別中列出了24家供應商。本文為那些希望利用國際安全研究人員的知識和專長來增強現有軟體測試工具庫的人整理了最值得關注的5大漏洞賞金平台:

1. HackerOne

眾多著名創投支持的網路安全公司,HackerOne可能是世界上最著名和公認的漏洞賞金品牌。根據其最新的年度報告,超過1,700家公司信任並採用HackerOne平台來增強其內部應用程序安全測試能力。該報告同樣說,他們的安全研究人員僅在2019年就獲得了約4000萬美元的賞金,並且累計獲得了8200萬美元。
HackerOne因受委辦美國政府的漏洞賞金計劃而聞名,其中包括美國國防部和美國陸軍的漏洞披露計劃。並且像其他一些提供漏洞賞金和漏洞披露程序(VDP)的供應商一樣,HackerOne現在還提供滲透測試服務,該服務由來自全球的安全研究人員共同完成,HackerOne還擁有可靠的安全認證產品組合,包括ISO 27001和FedRAMP授權。

2. BugCrowd

BugCrowd是由網路安全專家Casey Ellis創建,普谝被認為是最具創意和發明性的漏洞賞金平台。 BugCrowd不僅積極推廣傳統的眾包安全測試服務,而且還積極推廣針對IOT、API甚至網路的攻擊面管理提供廣泛的滲透測試服務,在迅速增長的市場上保持領先於其競爭對手。
 
BugCrowd巧妙的推廣其許多軟體開發生命週期的整合功能,使其客戶可以在開發、安全和運作(DevSecOps)之間更簡單更快速推行工作。

BugCrowd以替商業巨頭操辦漏洞賞金計劃而聞名,像是Amazon、VISA和eBay以及頗負盛名的(ISC)²網路安全教育協會等。為數不少的BugCrowd培訓課程、網路研討會和大學課程讓許多剛接觸資安研究的初學者和客戶端對BugCrowd相當熟悉。

3. OpenBugBounty

OpenBugBounty是名單上唯一的非營利性漏洞披露和漏洞賞金平台。從其Alexa網頁流量排名可以看出,OpenBugBounty即將成功的超越大多數競爭對手。

在其超過1200個賞金計畫中,只要是透過非侵入性的方式,OpenBugBounty允許以協力方式來找出安全漏洞。漏洞程式的創建是完全免費的,並且網站所有者無需向研究人員付款,但鼓勵網站所有者公開感謝研究人員的努力。

OpenBugBounty為A1 Telekom Austria和Drupal等公司運管漏洞賞金程式,到目前為止,該公司目前集結了20,000多名安全研究人員共提交了近80萬個安全漏洞。該平台的相關規範和披露流程都符合ISO 29147標準。

OpenBugBounty還與國家認證和執法機構合作,向他們提供平台的免費使用者介面(API),同時會將漏洞詳細信息保密,除非研究人員向公眾披露其發現。

4. SynAck

在包括Intel Capital和Kleiner Perkins在內的許多著名創投基金的支持下,SynAck於2015年至2019年連續四次被評為“ CNBC Disruptor”公司。SynAck在漏洞賞金平台的排位名列前茅,同時也被Gartner評為排名前25強的新創軟體公司。

SynAck是由美國國家安全機構的著名的安全先驅Jay Kaplan和Mark Kuhr所創立,它提供了一支經過嚴格審查的網路安全研究人員組成的精英團隊,被稱為“紅色團隊”(SRT)。根據SynAck的說法,SRT小組由安全專家組成,這些專家具有經過驗證的背景和可靠的行業經驗。
 
透過對紅隊進行全面的調查並記錄其所有活動以供將來分析或審查,SynAck成功地將自己定位為可信賴的眾包安全測試服務的領導者。SynAck還與包括Microsoft,AWS和HPE在內的行業領導者成功建立了合作夥伴關係和技術聯盟,顯示出進一步發展的強大潛力。

5. YesWeHack

YesWeHack是2021年評比中的後起之秀,是一家位於歐洲的漏洞賞金和漏洞披露公司,有效地吸引了關注隱私和數據保護的歐盟公司。最近,YesWeHack宣布2020年在亞洲實現250%創紀錄的成長,這表明歐洲新創公司有能力在全球範圍內擴張。

與BugCrowd相似,YesWeHack已做好投資其人力資本的充分準備。去年,該公司啟動了一項培訓計劃,以幫助YesWHack DOJO平台提高漏洞賞金獵人的駭客技能。它提供針對特定安全漏洞的入門課程和培訓挑戰。借助DOJO平台,來自世界各地的安全研究人員可以提高他們的軟體安全測試技能。最終,YesWeHack極具說服力地展示了其吸引法國OVH集團等知名歐洲客戶的能力。

雖然本文僅列出5個漏洞賞金平台,但市場上還有許多其他出色而獨特的平台,其中包括領先於歐洲的白帽駭客網路Intigriti。

漏洞懸賞已開始從純粹眾包安全測試轉變為多合一的網路安全平台,提供經典的滲透測試以及眾多其他服務。如今,很難預測他們的產品在對抗傳統MSSP和網路安全供應商方面將取得怎樣的成功。但是,漏洞賞金無疑創造了具有強大潛力的新市場利基。

儘管開放和免費的OpenBugBounty為賞金計畫帶來了成熟,但正如開源Linux在幾十年前與Microsoft對抗時一樣,後來誕生了市值數十億美元的紅帽公司(Red Hat)。這也說明了持續加入市場戰局的新平台將使漏洞賞金市場變得越來越大,競爭越來越激烈。我們可以期待未來有更多的創投投資和併購交易,以促進眾包安全市場的進一步擴大。