关键发现
1、目前HackerOne 平台上的注册黑客超过83万名,提交的有效漏洞数量超过18.1万个;
2、严重漏洞获得的平均奖金增长到3650美元,同比增长8%,任意严重级别的漏洞获得的奖金平均为979美元,比去年同比增长了9%;
4、美国仍然是漏洞奖励计划的头部玩家,所发放的奖金超过总额的87%,不过随着其它地区漏洞奖励计划数量的增多,这一比例呈现下降趋势。西班牙方法的奖金同比增长了4321%,巴西增长了1843%,中国增长了1429%,另外还有4个国家加入;
5、100个国家的黑客收入同比提高,中国黑客的收入增长增速最快,达582%,其次是西班牙 (307%)、法国 (297%)和土耳其 (214%);
6、来自7个国家的9名黑客的奖金收入已达到100万美元;
7、黑客来自全球各地,遍布226个国家和领土;
8、通过 Hack for Good,黑客共捐赠3万美元,世界卫生组织是第一个受赠方;
9、全球疫情爆发后是 HackerOne 平台上 hacktivity 的激增。新增黑客注册数量增长了59%,提交的漏洞报告增加了28%,组织机构支付的奖金总额提高了29%;
10、不当访问控制是接受奖金最多的弱点类型,同比增长130%。信息泄漏从去年的第一位落到今年的第二位,得到的奖金总额增长了60%;
全球影响力
全球安全漏洞奖励计划的数量增长惊人,34%的计划是在去年推出的。北美仍然占大头,占比69%,而单是 EMEA 就占据所有新增计划的20%,亚太地区同比增长93%。亚太市场正在快速成熟,新加坡的计划数量增长了164%,中国增长了67%、新西兰增长了40%。日本、韩国和泰国的计划数量也见增长。
黑客获得的奖金总额同比增长了87%。
1、奖金支付 Top 5
77%的公开漏洞奖励计划会在设立24小时内收到第一份漏洞报告。
支付奖金最多的前五个国家依次是美国(3910万美元)、俄罗斯(88.7万美元)、英国(55.9万美元)、新加坡(50.6万美元)和加拿大(49.7万美元)。其中俄罗斯是新晋玩家,从去年的第六名上升到第二名,而德国被挤到第六名(36.3万美元)。
2、疫情对安全的影响
HackerOne 的调查发现,64%的全球安全领导者认为自己所在的组织机构会因为疫情而遭受数据泄漏事故,30%表示因疫情而遭受攻击。遗憾的是,30%的领导者表示疫情导致安全团队规模减小。
3、谁获得最多奖金?
从地区分布来看,亚太地区获得的奖金同比增长了131%,EMEA 几乎翻了一番,增长了90%,北美和拉美的增长率均超过60%。
从黑客所在国家的角度来看,美国仍然是奖金霸主,过去一年斩获720万美元,同比增长了63%。不过美国的增长率远不如中国(582%)、西班牙(307%)、法国(297%)和土耳其(214%)。100个国家的黑客收入都在增长。赢得奖金最多的黑客所在国家 Top 5 是美国、中国、印度、俄罗斯和德国。中国的巨幅增长使加拿大屈居第六。
4、哪些行业在设立漏洞奖励计划
报告指出,漏洞奖励计划多种多样,服务目标也各不相同。
多数组织机构会选择从漏洞披露策略 (VDP) 开始设立漏洞奖励计划。漏洞奖励计划是黑客驱动安全的最高阶表现形式。一般而言,参加公开漏洞奖励计划的人数是非公开计划的五倍。和之前一样,非公开计划占 HackerOne 平台漏洞奖励计划总数的81%,而余下的19%是公开计划。
哪个行业设立的漏洞奖励计划最多?
从行业的角度来看,密币和区块链组织机构设立的公开漏洞奖励计划数量最多,占总数的43%。医疗行业以及北美州政府和地方政府仅设立非公开漏洞奖励计划。公开漏洞计划设立偏少的行业是计算机硬件和外围设备 (7%) 和旅游酒店行业(8%)。计算机软件和互联网及在线服务行业的漏洞奖励计划非常常见。过去一年新增的40%的漏洞奖励计划属于计算机及软件与互联网和在线服务行业,而支付的奖金占过去一年总数的72%还多。不过其它行业的增长率也不容小觑,同比增长达到200%及以上的行业是计算机硬件 (250%)、消费者商品 (243%)、教育 (200%) 和医疗 (200%),而媒体及娱乐行业增长了164%,零售和电商翻了一番,金融服务和计算机软件行业的增长率均超过75%。
其它行业向更多的黑客支付更多的奖金。支付总额超过100万美元的行业包括电信(近250万美元)、金融服务(近230万美元)、媒体及娱乐(近183万美元)以及汽车行业(近105万美元)。
1、行业巨头设立 VDP 的速度仍然缓慢
报告查看了福布斯评出的Top 2000 全球企业设立漏洞披露计划的情况,虽然有所改善,但仍然缓慢,如下图所示:
报告还提到了设立 VDP 的五个要素:承诺、范围、“安全港“、漏洞报告提交流程和报告评估偏好。
2、各行业解决漏洞的速度有多快?
几乎所有的行业都会在不到一天的时间里向黑客做出回应。
报告指出,持续集成和持续交付已成为 DevOps 团队的新标杆。这使得更多的团队在安全方面“左移“:改进编码实践、在开发过程中识别并消除漏洞,以及当代码迁移到生产环境时降低风险。而持续开发 (SDLC) 的最佳补充是持续的安全。
奖金趋势(按漏洞严重性和类型)
了解奖金趋势有助于了解安全风险所在。HackerOne 平台使用了 CWE 的属于,并基于 CVSS 进行严重性评估。
报告指出,HackerOne 平台为严重漏洞颁发的奖金中位数是2500美元,比2019年提高了500美元。严重漏洞可获得的平均奖金是3650美元,而去年是3384美元。
按地区划分的漏洞奖金支付情况(中位和平均奖金):
北美地区支付的 Top 10 漏洞(平均:4263美元,中位:3000美元)
EMEA地区支付的 Top 10 漏洞(平均:1547美元,中位:1000美元)
亚太地区支付的 Top 10 漏洞(平均:1893美元,中位:2000美元)
拉美地区支付的 Top 10 漏洞(平均:2567美元,中位:1800美元)
对严重漏洞的平均奖金支付(按行业划分)
对漏洞的平均奖金支付(按严重程度划分)
黑客报告的 Top 10 漏洞
另外,HackerOne 供举办了23场实时黑客活动,共颁发900万美元的奖金,共收到6800份漏洞报告。
黑客
报告指出,HackerOne 平台上的注册黑客数量达到83万人,有9名黑客的累计收入超过100万美元,超过200名黑客在 HackerOne 平台上的收入超过10万美元。过去一年,厂商共向黑客支付4475万美元。报告认为,黑客的潜在收入要远超当前的IT全球平均年收入(8,9732美元)。
入行hacking 的年限
最受黑客青睐的平台
黑客目前的职业状态
Hack 的目的是什么
报告指出,疫情期间的网络犯罪活动增多,其中大规模数据泄露活动在2020年早期相比2019年增长了273%。
报告最后指出,由黑客驱动的安全是网络安全的未来。
现在,未来已来。
报告原文:
https://www.hackerone.com/resources/reporting/the-4th-hacker-powered-security-report