虽然Gartner没有专门为漏洞赏金或众包安全测试绘制魔力象限,但Gartner Peer Insights列出了24家“应用众包测试服务”类供应商。

如果想增强公司现有软件测试武器库,纳入全球安全研究人员的知识和专业技能,那您不妨看看下列5个极具前景的漏洞赏金平台。

1. HackerOne

网址:https://www.hackerone.com/

作为背后站着众多著名风险资本家的独角兽公司,HackerOne可能是全世界知名度最高、最受认同的漏洞赏金品牌了。

其最近的年报显示,超过1700家公司信任HackerOne平台,放心依托HackerOne增强自身内部应用安全测试能力。报告还宣称,HackerOne的安全研究人员仅2019年一年就挣到了约4000万美元赏金,累积赏金数额更是高达8200万美元。

HackerOne的名声还来自于托管美国政府漏洞赏金计划,包括美国国防部和美国陆军的漏洞披露计划。与其他一些漏洞赏金计划和漏洞披露计划(VDP)类似,HackerOne如今还提供依托全球资深安全研究人员的渗透测试服务。HackerOne的安全认证十分完备,包括ISO 27001和FedRAMP授权。

2. BugCrowd

网址:https://www.bugcrowd.com/

网络安全专家Casey Ellis创立的BugCrowd可能是最具创新性的漏洞赏金平台了。BugCrowd不仅积极推动传统众包安全测试服务,还倡导攻击界面管理和针对物联网、API甚至网络的一系列渗透测试服务,在快速成长的众包安全市场上领先其他竞争对手。

BugCrowd还适度推广各种软件开发生命周期(SDLC)集成功能,方便客户高效整合和推动DevSecOps工作流。

Amazon、VISA、eBay等行业巨头,以及备受尊崇的(ISC)² 网络安全教育协会都将漏洞赏金计划交托给BugCrowd。很多安全研究新手也因BugCrowd大学、持续不断的安全网络研讨会和培训而熟知BugCrowd。这个创新平台将其客户的研究人员有机结合了起来。

3. OpenBugBounty

网址:https://www.openbugbounty.org/

在我们的名单上,飞速发展的OpenBugBounty项目是仅有的一个非营利性漏洞披露和漏洞赏金平台。Alexa排名显示,OpenBugBounty即将成功超越其绝大多数商业竞争对手。

依托1200多个活跃漏洞赏金计划,如果漏洞经由非侵入式方法检测,OpenBugBounty还允许在任意网站上协同披露这些漏洞。在OpenBugBounty上创建漏洞赏金计划是完全免费的,无需支付研究人员酬金,但鼓励至少感谢研究人员的付出,并公开推荐他们。

OpenBugBounty为奥地利电信A1和Drupal等公司托管漏洞赏金计划,有2万多名安全研究人员投身其中,截至目前提交了近80万个安全漏洞。该平台表示,其策略和披露流程遵循ISO 29147标准。

OpenBugBounty还与各国CERT(计算机应急响应小组)和执法机构合作,为他们提供免费API接入平台,同时在研究人员公开披露其漏洞发现之前保密漏洞详情。

4. SynAck

网址:https://www.synack.com/

背靠英特尔投资部和凯鹏华盈(Kleiner Perkins)等多家知名风险投资基金,2015年到2019年,SynAck四度蝉联CNBC(美国消费者新闻与商业频道)“颠覆者”称号。SynAck处于商业漏洞赏金平台顶部,也入选了Gartner企业软件初创公司Top 25。

SynAck由安全远见者、前美国国家安全机构雇员Jay Kaplan和Mark Kuhr联合创立,提供经全面审核的网络安全研究人员组成的精英团队“红队”(SRT)。SynAck表示,SRT小组的安全专家背景清晰,行业经验丰富。

由于对红队成员进行详尽全面的尽职审查,并记录其全部活动供未来分析或审核,SynAck成功跻身可信众包安全测试服务领头羊之列。而且,SynAck还与行业领导者建立了合作伙伴关系和技术联盟,包括微软、AWS和HPE,表现出了强劲的成长潜力。

5. YesWeHack

网址:https://www.yeswehack.com/

YesWeHack是2021年的新星。作为欧洲漏洞赏金和漏洞披露公司之一,YesWeHack成功吸引了注重严格隐私与保护数据防护的欧盟公司企业。最近,YesWeHack宣布2020年在亚洲录得破纪录的250%增长率,证明了欧洲初创公司全球扩张的能力。

与BugCrowd类似,YesWeHack也做好了投资人才的准备。去年,YesWeHack启动培训项目,帮助漏洞赏金猎人借助YesWeHack DOJO平台磨练黑客技术。该项目提供入门级课程和专注特定安全漏洞的培训关卡,以及施展身手的训练环境。

全世界的安全研究人员都可以借助DOJO平台磨砺其软件安全测试技术。最后,YesWeHack还展现了吸引法国OVH集团等著名欧洲客户的能力。

除了上述五大漏洞赏金平台,市场上还有其他很多独特而杰出的平台,比如身为欧洲主流道德黑客网络之一的Intigriti。

漏洞赏金计划已开始从纯众包安全测试向综合网络安全平台转型,提供经典渗透测试和大量其他服务。我们目前很难预测漏洞赏金平台相对于传统托管安全服务提供商(MSSP)和网络安全供应商到底有多成功,但是,漏洞赏金无疑开创了极具潜力的新型市场定位。

正如几十年前开源Linux撼动微软商业闭源操作系统,随后诞生数十亿美元Red Hat业务,开放自由的OpenBugBounty项目正促进漏洞赏金计划不断成熟。

这标志着漏洞赏金市场在逐步壮大,变得更具竞争力,越来越多的新玩家不断投身其中。我们可以预计,未来将有更多风险资本加入,会出现更多并购交易,推动众包安全市场继续扩张。

来源:数世咨询