HackerOne 發(fā)布了第四份《黑客驅動安全報告》。報告指出，全球加大了對漏洞獎勵計劃的投入，亞太區(qū)增加了93%，拉美增加了29%。全球所有漏洞獎勵計劃頒發(fā)的獎金同比增長了87%。全球的黑客社區(qū)的規(guī)模和深度也在不斷增強。來自7個國家的9名黑客在該平臺上的收入已經超過100萬美元大關。在疫情期間，黑客每月上報的漏洞數量比平時增長了28%。在疫情爆發(fā)前，黑客通過投入時間和精力，借由 Hacker for Good 計劃為社會貢獻自己的力量，已向世界衛(wèi)生組織捐獻3萬美元用于抗擊疫情。

　　關鍵發(fā)現(xiàn)

　　目前HackerOne 平臺上的注冊黑客超過83萬名，提交的有效漏洞數量超過18.1萬個。

　　嚴重漏洞獲得的平均獎金增長到3650美元，同比增長8%，任意嚴重級別的漏洞獲得的獎金平均為979美元，比去年同比增長了9%。

　　過去一年，為全球黑客支付的獎金總額超過4475萬美元，同比增長87%，截止到2020年5月，支付的獎金總額就超過了1億美元大關。

　　美國仍然是漏洞獎勵計劃的頭部玩家，所發(fā)放的獎金超過總額的87%，不過隨著其它地區(qū)漏洞獎勵計劃數量的增多，這一比例呈現(xiàn)下降趨勢。西班牙方法的獎金同比增長了4321%，巴西增長了1843%，中國增長了1429%，另外還有4個國家加入。

　　100個國家的黑客收入同比提高，中國黑客的收入增長增速最快，達582%，其次是西班牙 （307%）、法國 （297%）和土耳其 （214%）。

　　來自7個國家的9名黑客的獎金收入已達到100萬美元。

　　黑客來自全球各地，遍布226個國家和領土。

　　通過 Hack for Good，黑客共捐贈3萬美元，世界衛(wèi)生組織是第一個受贈方。

　　全球疫情爆發(fā)后是 HackerOne 平臺上 hacktivity 的激增。新增黑客注冊數量增長了59%，提交的漏洞報告增加了28%，組織機構支付的獎金總額提高了29%。

　　不當訪問控制是接受獎金最多的弱點類型，同比增長130%。信息泄漏從去年的第一位落到今年的第二位，得到的獎金總額增長了60%。

　　全球影響力

　　全球安全漏洞獎勵計劃的數量增長驚人，34%的計劃是在去年推出的。北美仍然占大頭，占比69%，而單是 EMEA 就占據所有新增計劃的20%，亞太地區(qū)同比增長93%。亞太市場正在快速成熟，新加坡的計劃數量增長了164%，中國增長了67%、新西蘭增長了40%。日本、韓國和泰國的計劃數量也見增長。

　　黑客獲得的獎金總額同比增長了87%。

　　1、獎金支付 Top 5

　　77%的公開漏洞獎勵計劃會在設立24小時內收到第一份漏洞報告。

　　支付獎金最多的前五個國家依次是美國（3910萬美元）、俄羅斯（88.7萬美元）、英國（55.9萬美元）、新加坡（50.6萬美元）和加拿大（49.7萬美元）。其中俄羅斯是新晉玩家，從去年的第六名上升到第二名，而德國被擠到第六名（36.3萬美元）。

　　2、疫情對安全的影響

　　HackerOne 的調查發(fā)現(xiàn)，64%的全球安全領導者認為自己所在的組織機構會因為疫情而遭受數據泄漏事故，30%表示因疫情而遭受攻擊。遺憾的是，30%的領導者表示疫情導致安全團隊規(guī)模減小。

　　3、誰獲得最多獎金？

　　從地區(qū)分布來看，亞太地區(qū)獲得的獎金同比增長了131%，EMEA 幾乎翻了一番，增長了90%，北美和拉美的增長率均超過60%。

　　從黑客所在國家的角度來看，美國仍然是獎金霸主，過去一年斬獲720萬美元，同比增長了63%。不過美國的增長率遠不如中國（582%）、西班牙（307%）、法國（297%）和土耳其（214%）。100個國家的黑客收入都在增長。贏得獎金最多的黑客所在國家 Top 5 是美國、中國、印度、俄羅斯和德國。中國的巨幅增長使加拿大屈居第六。

　　4、哪些行業(yè)在設立漏洞獎勵計劃

　　報告指出，漏洞獎勵計劃多種多樣，服務目標也各不相同。

　　多數組織機構會選擇從漏洞披露策略 （VDP） 開始設立漏洞獎勵計劃。漏洞獎勵計劃是黑客驅動安全的最高階表現(xiàn)形式。一般而言，參加公開漏洞獎勵計劃的人數是非公開計劃的五倍。和之前一樣，非公開計劃占 HackerOne 平臺漏洞獎勵計劃總數的81%，而余下的19%是公開計劃。

　　哪個行業(yè)設立的漏洞獎勵計劃最多？

　　從行業(yè)的角度來看，密幣和區(qū)塊鏈組織機構設立的公開漏洞獎勵計劃數量最多，占總數的43%。醫(yī)療行業(yè)以及北美州政府和地方政府僅設立非公開漏洞獎勵計劃。公開漏洞計劃設立偏少的行業(yè)是計算機硬件和外圍設備 （7%） 和旅游酒店行業(yè)（8%）。計算機軟件和互聯(lián)網及在線服務行業(yè)的漏洞獎勵計劃非常常見。過去一年新增的40%的漏洞獎勵計劃屬于計算機及軟件與互聯(lián)網和在線服務行業(yè)，而支付的獎金占過去一年總數的72%還多。不過其它行業(yè)的增長率也不容小覷，同比增長達到200%及以上的行業(yè)是計算機硬件 （250%）、消費者商品 （243%）、教育 （200%） 和醫(yī)療 （200%），而媒體及娛樂行業(yè)增長了164%，零售和電商翻了一番，金融服務和計算機軟件行業(yè)的增長率均超過75%。

　　其它行業(yè)向更多的黑客支付更多的獎金。支付總額超過100萬美元的行業(yè)包括電信（近250萬美元）、金融服務（近230萬美元）、媒體及娛樂（近183萬美元）以及汽車行業(yè)（近105萬美元）。

　　1、行業(yè)巨頭設立 VDP 的速度仍然緩慢

　　報告查看了福布斯評出的Top 2000 全球企業(yè)設立漏洞披露計劃的情況，雖然有所改善，但仍然緩慢，如下圖所示：

　　報告還提到了設立 VDP 的五個要素：承諾、范圍、“安全港”、漏洞報告提交流程和報告評估偏好。

　　2、各行業(yè)解決漏洞的速度有多快？

　　幾乎所有的行業(yè)都會在不到一天的時間里向黑客做出回應。

　　報告指出，持續(xù)集成和持續(xù)交付已成為 DevOps 團隊的新標桿。這使得更多的團隊在安全方面“左移”：改進編碼實踐、在開發(fā)過程中識別并消除漏洞，以及當代碼遷移到生產環(huán)境時降低風險。而持續(xù)開發(fā) （SDLC） 的最佳補充是持續(xù)的安全。

　　獎金趨勢（按漏洞嚴重性和類型）

　　了解獎金趨勢有助于了解安全風險所在。HackerOne 平臺使用了 CWE 的數據，并基于 CVSS 進行嚴重性評估。

　　報告指出，HackerOne 平臺為嚴重漏洞頒發(fā)的獎金中位數是2500美元，比2019年提高了500美元。嚴重漏洞可獲得的平均獎金是3650美元，而去年是3384美元。

　　按地區(qū)劃分的漏洞獎金支付情況（中位和平均獎金）

　　北美地區(qū)支付的 Top 10 漏洞

　?。ㄆ骄?263美元，中位：3000美元）

　　EMEA地區(qū)支付的 Top 10 漏洞

　?。ㄆ骄?547美元，中位：1000美元）

　　亞太地區(qū)支付的 Top 10 漏洞

　?。ㄆ骄?893美元，中位：2000美元）

　　拉美地區(qū)支付的 Top 10 漏洞

　?。ㄆ骄?567美元，中位：1800美元）

　　對嚴重漏洞的平均獎金支付（按行業(yè)劃分）

　　對漏洞的平均獎金支付（按嚴重程度劃分）

　　黑客報告的 Top 10 漏洞

　　另外，HackerOne 舉辦了23場實時黑客活動，共頒發(fā)900萬美元的獎金，共收到6800份漏洞報告。

　　黑客

　　報告指出，HackerOne 平臺上的注冊黑客數量達到83萬人，有9名黑客的累計收入超過100萬美元，超過200名黑客在 HackerOne 平臺上的收入超過10萬美元。過去一年，廠商共向黑客支付4475萬美元。報告認為，黑客的潛在收入要遠超當前的IT全球平均年收入（8,9732美元）。

　　入行hacking 的年限

　　最受黑客青睞的平臺

　　黑客目前的職業(yè)狀態(tài)

　　Hack 的目的是什么

　　報告指出，疫情期間的網絡犯罪活動增多，其中大規(guī)模數據泄露活動在2020年早期相比2019年增長了273%。

　　報告最后指出，由黑客驅動的安全是網絡安全的未來。

　　現(xiàn)在，未來已來。