研究成果
HackerOne与MIT及哈佛大学的经济学及政策研究人员一直在研究0day市场背后的经济力量。研究成果如下:
漏洞市场不只由价格因素控制——左右进攻与防御天平的因素有很多。
漏洞奖励项目依然是更快找到漏洞的有效方式,尤其是对于不太成熟的软件来说尤为如此。
为支持漏洞发现的工具及技巧设立激励措施是防御方消耗0day漏洞攻击库存更为有效的方式。
本文以下部分内容将会讨论如何在一个不是完全由价格决定的市场作为防御方如何在竞争中获胜。
用感谢、T恤及现金换取软件漏洞
当一款热门产品被推出时,进攻及防御市场便在发现软件漏洞方面展开白热化竞争。本文“进攻”及“防御”指的是发现的漏洞会被如何利用。越来越多的组织机构意识到,通过诸如漏洞奖励的安全研究项目是在所有攻击层面发现漏洞的一种有效方式。但我们都知道,防御方并非漏洞的唯一购买方。
发现的漏洞可通过多种方式利用。虽然在过去许多独立安全研究人员会将漏洞无偿披露给企业,但现在这个趋势正在减弱,原因是他们将自己技术货币化的机会越来越多了。多年以来,漏洞奖励被证明是督促研究人员发现并将单个漏洞汇报给防御方的有效方式。随着漏洞市场的好处及现金不断水涨船高,同时向进攻及防御市场出售漏洞的机会不断增多。
防御方试图减弱风险或者修复漏洞,而进攻方可用漏洞发动受国家支持的攻击,被政府用来监控公民活动,用于执法行动、犯罪活动、黑客活动、或者仅仅是蓄意破坏。斯诺登披露的一些文件证实了大多数安全企业已经知道的事实:包括美国政府在内的各国政府是以高价购买漏洞并将之用于恶意目的的主要团体。这些政府同时还需要保护国家安全及关键基础设施,而他们是否会将安全漏洞告知软件厂商并予以修复、是否将其加入未来武器储备范畴是一种有趣的谜题。
进攻方购买漏洞的出价要高于进攻方,那么进攻方如何能够在市场上获得更多优势呢?什么样的市场动态模型在起作用?而且防御方如何做才能让天平倾向于自己一方呢?
如果出价不够高,如何智取?
许多人都提出的提案都以钱为关键指标。每每为漏洞奖励定价时,一种常见的说法是“你的价格永远不会高于黑市。”2014年在拉斯维加斯举行的黑帽大会上,Dan Geer提议政府应该以六位数的价格购买漏洞,直接与黑市竞争。这些被购买的漏洞之后会被提交给受影响的厂商 ,帮助他们修复漏洞。
然而,Geer表示这种方式只有在漏洞稀少的情况下才会起作用。吸引更多人查找安全漏洞会帮助消耗进攻库存这一点很正确,尤其是在不太成熟的软件中。漏洞是否稀有或多见完全取决于软件的成熟度。
然而,如果一个组织机构以公开方式运行并集中在防御方面,且不管软件成熟与否都提供六位数的钱,这样会产生另外一个新问题。大量奖励会产生不正当的激励措施,尤其是对于不太成熟的软件来说更是这样。一段时间过后,耗尽的就是开发人员及人才库了——他们会辞掉工作专心赚取漏洞奖励了。每年卖掉一两个漏洞,而且能写工具还能知道哪些漏洞可被利用的开发人员可不必更加努力工作就可赚取跟一直支付漏洞的制造商一样多的钱了。这意味着防御方可通过提供更多奖励来得到更多的漏洞,但这里需要知道的一点是,他们的支付有一个上限,并且不会创造不正当激励措施以及不良后果。
对于防御方来说,漏洞有一个符合逻辑的价格上限,上限之外只有进攻购买者才能抵达。
当进攻市场价格已经如此高时,为什么还不会发生这种情况呢?为什么只有出到一样高价格的防御市场会具有如此大的破坏性呢?因为多数仅供市场在幕后操作,而且永远不能谈论自己的发现,因此不如公开奖励项目吸引的人多。不是所有的黑客都是为金钱所动。即便是那些将漏洞卖给政府的黑客也会有选择性地有目的性地选择队伍,即使“另一方”会给他们更高的价格。人类行为学总是要比通过欲望作出决定更加复杂,而黑客也不例外。
防御方为漏洞提供六位数字的奖励所产生的效果是将暗中工作的不良后果去除。这样鼓励开发人员及测试人员放弃工作查找漏洞就带来了不好的结果。在这种模式下,我们创建了识别漏洞的奖励,而无需确保修复漏洞所需要的资源。
那么,如果直接从价格上竞争不能为防御方获取更多的竞争优势,漏洞经济的其他衡量方式有哪些?如果不是价格的原因,那么防御者穷尽进攻方漏洞库存最有效的方式是什么?
研究:系统动态某型披露了新的防御激励战略
为了解决这个问题,包括作者在内的三名研究人员开始识别影响0day漏洞市场真正的杠杆。“在一个较高水平,这些模型取决于对系统及行为的理解。研究人员查看了关键信息来源包括研究理论,并与学科专家就数据的表现情况进行了讨论。
系统动态是一种模型化复杂系统以更好理解问题的方式。研究人员开发出了这个模型并进行了分析。
目标:构建一个能够回答穷尽进攻漏洞库存的更好方式,换句话说,如何帮助防御方找到并修复更多进攻市场已经拥有的“相同的”漏洞。防御的关键不仅是要发现尽可能多的漏洞,更重要的是在跟进攻研究人员发现相同的漏洞之后,增加“漏洞碰撞”并修复漏洞。真实存在的例子是谷歌Project Zero的项目。
研究人员创建了首个0day市场系统动态模型来验证这些杠杆。对进攻漏洞库存的效果通过查看进攻方及防御方作出模型,以表示漏洞发现领域中供需力量的对比。
结果
现金奖励有局限。投入更多机构或钱财以试图比进攻方发现更多的漏洞起作用,但效率与其他方式并不一致。对个人漏洞的奖励有效果,尤其对那些不太成熟且没有多少外部检查的软件尤其有效。
自动化及效益对防御方的作用比仅仅拥有更多的专家防御者更大。当防御方拥有发现漏洞的更好工具及技巧时,防御方能够更加快速地耗尽漏洞的进攻库存。更多的成熟厂商应该考虑在标准的漏洞奖励计划中添加更多的工具及防御激励措施以更有效地发现漏洞。
对于那些政府政策制定者来说,需要扩展注意力。
接下来应该怎么做?
那么,作为一个企业应该怎么做呢?
对于组织机构来说:想要减少安全漏洞总数的个体组织机构来说,首先应该投资安全开发生命周期,随后提供漏洞将立即购作为安全质量评估措施来捕获错过的漏洞。雇佣具有黑客思维的强大防御员工也是一种方法。对于更加成熟的软件来说,组织机构除了发布任何个人漏洞奖励之外,还应创建工具及技巧激励措施,提高效率并找出与进攻方数量一样的漏洞。
对于黑客来说:是个利好消息。随着更多安全研究支付选择的出现,黑客应当投入能够激励他们的工作。在理想情况下,黑客能够拥有最好的资源,他们不必从获得支付及为互联网做贡献之间做出选择。研究更好的工具及技巧能够让他们从单个漏洞中获得支付之外还可获得更多专业技能方面的奖励。
对于政府来讲:许多将漏洞卖给政府并且与进攻方有关的黑客会说他们在多数漏洞发现过程中不会使用工具。这是因为他们的技术非常高超。对于技能水平不一的防御方来说,工具是发现漏洞的最有效方式。在进攻及防御领域起作用的政府应该尝试帮助防御者获得发现漏洞的更好工具。
对于互联网来说:Facebook及微软在HackerOne的帮助下,资助了一个名为“互联网漏洞奖励(IBB)”的项目,这是一个非营利性利益主体,目的是为了承认并奖励那些改善关键互联网基础架构的安全研究,如OpenSSL库、Apache、以及Nginx网络服务器及Ruby、Python、PHP以及Peri编程语言等。研究人员已经在互联网漏洞奖励项目中包含了关于工具及技巧的奖励项目,以帮助漏洞发现及漏洞利用工作。
研究的详细数据信息等将在RSA2015会议上公布。
结语
攻击者及防御者智键的博弈将一直存在。我们如何让攻击者的成本更高、并为更多的防御方提供更多优势是问题的关键所在。金钱并非左右博弈的唯一因素,防御方需要开始使用金钱以外的更多东西。“漏洞街之狼”就在我们中间,我们正在通过动态模型更有效地驾驭互联网防御。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。