美国漏洞披露政策推动漏洞提交增长十倍

Bugcrowd 2021年“Priority One”报告

2020年9月，美国各政府机构收到指令制定漏洞披露政策。此后，漏洞报告激增：2021年前三季度，联邦部门有效漏洞提交数量增加1000%。

过去两年来，安全研究人员花费更多时间远程工作，分配给研究活动的时间也随之增加。在2022年1月下旬发布的年度“Priority One”报告中，Bugcrowd报告称，美国政府部门已得益于这一趋势，加之美国国土安全部（DHS）第20-01号约束性操作指令（Binding Operational Directive 20-01）的授权，2021年研究人员提交的漏洞报告明显多于上一年。

Bugcrowd创始人兼首席技术官Casey Ellis表示，指令的反响起初很小，但在2021年猛然加速，暴露出政府机构的巨大攻击面，以及其基础设施中仍旧没怎么经受测试的地方。

“我不认为政府在漏洞管理方面存在什么特殊的困难。那些历经有机增长和无机增长的老牌公司，他们首先发现的就是自己不知道自家东西都在哪里，而政府也不例外。所有这些因素叠加就促成了这高达10倍的漏洞报告数量增长——我们现在研究的就是如此巨大的攻击面。”

面对这一问题的不单单只有政府部门一家。Bugcrowd的报告显示，金融行业漏洞报告数量几乎翻番，2021年前三季度的有效漏洞报告增长了82%。总体上看，Bugcrowd和其他漏洞赏金计划，以及独立的企业漏洞赏金，都见证了赏金随时间推移而增加，并且研究人员的关注重点也逐渐转向了最关键的漏洞。

Bugcrowd还看出了漏洞研究中的从众心理。在公开漏洞披露之后，黑客往往扎堆攻克同一类安全问题。例如，Log4j漏洞披露就引发了针对类似问题的平台测试井喷，由此带来超过1200份报告，其中至少500份是报给该公司客户的有效漏洞提交。转而聚焦这一最新重大漏洞为某位研究人员赢得了9万美元的奖励。

Ellis称：“这种关注重点转移就好像所有人都在后院聚会上等人加入一样。我们看到太多视线聚焦到关键的远程访问问题上了。”

优先级为1级和2级的问题，也就是Bugcrowd漏洞分类中列为关键和高严重性的那些漏洞，占了所有报告漏洞的24%。跨站脚本和访问控制失效仍旧是研究人员发现的主要漏洞类型，但敏感数据暴露在最常见漏洞排行榜上从2020年的第九位上升到了第三位。

所有行业的漏洞赏金支出都在增长。金融服务行业向发现漏洞的研究人员支付的奖金增长了一倍多（106%），而软件公司2021年付出的漏洞赏金比上一年多出了73%。

能够挣来赏金的漏洞未必是新漏洞：各家公司都在寻找任何未修复的漏洞，即使这些漏洞并不算新。Bugcrowd在报告中称，从很多方面看，所谓的“N日”漏洞已经变得比零日漏洞更为重要。

比如，Log4j漏洞就也算是长尾安全漏洞，攻击者未来也将继续利用这个漏洞。Ellis表示，Log4j安全咨询触发了大量白帽子和黑帽子黑客活动。

他声称：“在众人的认知中，高端攻击者向来与域外隐秘漏洞利用挂钩，但我认为，情况明显不再总是这样了。作为攻击者，无论你是否官方，你都得证明自己付出的代价是值得的。在免费下载同样有用的情况下，为什么要烧几百万美元去搞个零日漏洞呢？”

新研究对黑客兴趣点的影响，以及其在研究社区引发的势头，都值得分析，这样我们才能找出未来最有可能被发现和利用的漏洞类型。

“研究人员和黑客社区确实有群体思维——他们互相借鉴，只要嗅到哪里散发着成功的气息，就铆足了劲涌入这个领域展开新的研究。这不过是理性的经济学。他们的目标是发现独特的漏洞，然后以之赚钱。”

Bugcrowd 2021年“Priority One”报告：

https://www.bugcrowd.com/press-release/bugcrowd-reports-185-increase-in-high-risk-vulnerabilities-within-financial-sector/