談臭蟲獎勵計劃

網路安全威脅日益增加，企業跟不上步伐。「臭蟲獎勵計劃」(Bug Bounty Programme) 越來越受歡迎，可利用全球網路安全社群來識別系統中的漏洞，降低進入門檻可解決其廣泛實施的潛在障礙。

識別安全漏洞換取金融「賞金」

臭蟲獎勵計劃讓安全研究人員，嘗試識別組織技術基礎設施中的安全漏洞，換取金融「賞金」。該計劃始於1995年的NetScape，現在有多個漏洞賞金平台可用，包括HackerOne、BugCrowd和YesWeHack等。

不少國家也認識到臭蟲獎勵計劃，在國家網路安全方面的重要性。例如，新加坡通信和信息部和新加坡網路安全局，就認為臭蟲獎勵計劃的價值高，並豁免指定的提供漏洞賞金平台和服務的公司入侵系統的刑責。

臭蟲獎勵計劃的市場障礙

臭蟲獎勵計劃旨在解決缺乏大量熟練合格的安全研究人員，如何透過集體智慧來識別漏洞的問題。但臭蟲獎勵計劃卻存在市場障礙，正阻礙著其普及。

其中一個主要問題是漏洞定價。安全研究人員缺乏適當的激勵，因為定價不對稱，也令缺乏法律保護和標準指導的問題更為嚴重。

此外，某些駭客並不是被金錢所吸引，而大多數研究人員，通常會因多種因素和動機而受到激勵。

可考慮建立共享平台及立法規管

有幾種方法可以解決與臭蟲獎勵計劃相關的潛在問題。其中一種解決方案，是擁有一個獨立的平台，類似於Uber，將安全研究人員與組織聯繫起來。此平台將允許獎勵金額基於正確價格進行拍賣，並由技術所有者監管。此平台應該將適當的人才，與適當的買家相連接，以便他們可以配對到合適的激勵形式和價值。

另一種解決方案，是增強法律框架，以彰顯臭蟲獎勵計劃的重要性，並有認證或獲授權的人員來執行此任務。法律框架應該要求公司實施和操作漏洞披露政策 (VDP)，為安全研究的業界和公眾提供明確的指南，以進行善意的漏洞發現活動，並針對公開或內部應用程序和服務提供指導。

而VDP還可指導研究人員，如何以道德和安全的方式提交發現的漏洞，包括受影響的安全供應商，並提供有關如何披露此類漏洞的明確指南。

須注重投資培訓人才

最後，需要投資人才發展，以確保有足夠數量熟練而合格的安全研究人員，了解如何透過以發現漏洞為動機，進行「黑客攻擊」以賺取報酬。最理想的情況下，法律框架還應要求安全研究人員獲得實質的認證和授權。這將對投資於網絡安全教育和培訓，產生積極的下游影響，從而建立一個健康的熟練網絡安全專業人員的流水線，這些人員可以參加臭蟲獎勵計劃。臭蟲獎勵計劃作為有效的風險管理策略，可以降低進入門檻，為組織提供網絡安全防禦的好處。臭蟲獎勵計劃在未來五年，預計全球採用率將有所提高，通過集體智慧，聯繫不同背景和經驗的安全研究人員，提高網絡安全的成本效益。

最近，PwC Dark Lab研究了臭蟲獎勵計劃的好處，並提出了潛在解決方案，以應對動態的網路風險環境。

作者簡介：香港電腦學會網絡安全專家小組執行委員會成員李家明