談臭蟲獎勵計劃

領袖訪談

網路安全威脅日益增加,企業跟不上步伐。「臭蟲獎勵計劃」(Bug Bounty Programme) 越來越受歡迎,可利用全球網路安全社群來識別系統中的漏洞,降低進入門檻可解決其廣泛實施的潛在障礙。

識別安全漏洞換取金融「賞金」

臭蟲獎勵計劃讓安全研究人員,嘗試識別組織技術基礎設施中的安全漏洞,換取金融「賞金」。該計劃始於1995年的NetScape,現在有多個漏洞賞金平台可用,包括HackerOne、BugCrowd和YesWeHack等。

不少國家也認識到臭蟲獎勵計劃,在國家網路安全方面的重要性。例如,新加坡通信和信息部和新加坡網路安全局,就認為臭蟲獎勵計劃的價值高,並豁免指定的提供漏洞賞金平台和服務的公司入侵系統的刑責。

臭蟲獎勵計劃的市場障礙

臭蟲獎勵計劃旨在解決缺乏大量熟練合格的安全研究人員,如何透過集體智慧來識別漏洞的問題。但臭蟲獎勵計劃卻存在市場障礙,正阻礙著其普及。

其中一個主要問題是漏洞定價。安全研究人員缺乏適當的激勵,因為定價不對稱,也令缺乏法律保護和標準指導的問題更為嚴重。

此外,某些駭客並不是被金錢所吸引,而大多數研究人員,通常會因多種因素和動機而受到激勵。

可考慮建立共享平台及立法規管

有幾種方法可以解決與臭蟲獎勵計劃相關的潛在問題。其中一種解決方案,是擁有一個獨立的平台,類似於Uber,將安全研究人員與組織聯繫起來。此平台將允許獎勵金額基於正確價格進行拍賣,並由技術所有者監管。此平台應該將適當的人才,與適當的買家相連接,以便他們可以配對到合適的激勵形式和價值。

另一種解決方案,是增強法律框架,以彰顯臭蟲獎勵計劃的重要性,並有認證或獲授權的人員來執行此任務。法律框架應該要求公司實施和操作漏洞披露政策 (VDP),為安全研究的業界和公眾提供明確的指南,以進行善意的漏洞發現活動,並針對公開或內部應用程序和服務提供指導。

而VDP還可指導研究人員,如何以道德和安全的方式提交發現的漏洞,包括受影響的安全供應商,並提供有關如何披露此類漏洞的明確指南。

須注重投資培訓人才

最後,需要投資人才發展,以確保有足夠數量熟練而合格的安全研究人員,了解如何透過以發現漏洞為動機,進行「黑客攻擊」以賺取報酬。最理想的情況下,法律框架還應要求安全研究人員獲得實質的認證和授權。這將對投資於網絡安全教育和培訓,產生積極的下游影響,從而建立一個健康的熟練網絡安全專業人員的流水線,這些人員可以參加臭蟲獎勵計劃。臭蟲獎勵計劃作為有效的風險管理策略,可以降低進入門檻,為組織提供網絡安全防禦的好處。臭蟲獎勵計劃在未來五年,預計全球採用率將有所提高,通過集體智慧,聯繫不同背景和經驗的安全研究人員,提高網絡安全的成本效益。

最近,PwC Dark Lab研究了臭蟲獎勵計劃的好處,並提出了潛在解決方案,以應對動態的網路風險環境。

作者簡介:香港電腦學會網絡安全專家小組執行委員會成員李家明

香港電腦學會網絡安全專家小組執行委員會成員、Dark Lab學院聯合創始人及網絡威脅情報主管。他認為網絡安全是適合自己的職業,並於2018 年加入普華永道Dark LAb,自此成為網絡威脅情報主管及Dark Lab Academy的聯合創始人。