在過(guò)去的一年里，網(wǎng)絡(luò)安全領(lǐng)域的漏洞頻頻攀升至新高峰。安全研究巨頭Qualys在其《2023年網(wǎng)絡(luò)威脅安全回顧》報(bào)告中指出，全球范圍內(nèi)披露的計(jì)算機(jī)漏洞數(shù)量高達(dá)26447個(gè)，這一數(shù)字在歷史橫軸上刻下了新的紀(jì)錄——較之上一年的25050個(gè)漏洞，同比激增了5.2%。

　　這不斷擴(kuò)張的漏洞披露數(shù)目，背后得益于對(duì)漏洞賞金計(jì)劃的不斷推進(jìn)和完善。隨著賞金激勵(lì)模式的不斷成熟，愈加多的企業(yè)、機(jī)構(gòu)甚至平臺(tái)積極參與其中，攜手眾多安全研究人員，共同挖掘與審核那些隱藏的或潛在的安全威脅，為網(wǎng)絡(luò)世界的安全保駕護(hù)航。
　　例如，在2023年，美國(guó)國(guó)防部攜手安全界的研究者，推出了備受矚目的第三輪“黑進(jìn)五角大樓”計(jì)劃。同時(shí)，OpenAI亦在同年宣布推出新一輪的漏洞懸賞活動(dòng)。備受贊譽(yù)的漏洞眾測(cè)平臺(tái)HackerOne則在2023年10月公告，自公司創(chuàng)立之初的2012年起，其漏洞賞金計(jì)劃已向全球的白帽黑客以及安全研究人員分發(fā)了超3億美元的獎(jiǎng)金。

　　回望2022年，白帽黑客通過(guò)漏洞賞金計(jì)劃向谷歌揭示了超2900個(gè)漏洞，為此，谷歌總共支付了逾千二百萬(wàn)美元的懸賞金。在這其中，單一漏洞的獎(jiǎng)金最高飆升至60萬(wàn)美元，折合超400萬(wàn)人民幣，無(wú)疑為漏洞發(fā)現(xiàn)者帶來(lái)了巨額的財(cái)富致富機(jī)遇。打破了過(guò)往漏洞賞金的紀(jì)錄，預(yù)示著安全研究者在此領(lǐng)域的努力與貢獻(xiàn)得到了前所未有的回報(bào)。

　　漏洞的價(jià)格取決于什么？

　　關(guān)于漏洞的估價(jià)問(wèn)題，歷來(lái)爭(zhēng)議紛紛，哪怕是全球最受歡迎的漏洞懸賞平臺(tái)發(fā)布的價(jià)格也難免遭人質(zhì)疑，其中蘊(yùn)含的矛盾困境幾乎無(wú)解。決定一個(gè)漏洞的市場(chǎng)價(jià)值的因素何在？

　　在很多時(shí)候，我們習(xí)慣將漏洞的價(jià)值與其可能引發(fā)的危害和影響視為一體。拿2018年的情形作例，當(dāng)EOS系統(tǒng)被360安全團(tuán)隊(duì)揪出一處被標(biāo)稱價(jià)值百億的安全漏洞時(shí)，整個(gè)業(yè)界為之一震，周鴻祎也公開(kāi)證實(shí)漏洞的真實(shí)性。那段風(fēng)波過(guò)后，每個(gè)網(wǎng)安人都對(duì)漏洞潛藏的巨大破壞力感到膽戰(zhàn)心驚。

　　然而，是否真的可以聲稱該漏洞真能享有百億美金的價(jià)標(biāo)？顯然是不可能。即便降至千分之一的估值，亦或許過(guò)于樂(lè)觀，要說(shuō)不及萬(wàn)分之一，則更加切中現(xiàn)實(shí)。漏洞與經(jīng)濟(jì)損失之間并非簡(jiǎn)單的直線關(guān)聯(lián)，黑客的成功在發(fā)現(xiàn)并利用漏洞時(shí)必須跨越重重技術(shù)門檻，其間復(fù)雜度和不確定性并立；如果漏洞始終未覺(jué)，它對(duì)企業(yè)則皆如無(wú)形，無(wú)損企業(yè)資產(chǎn)分毫。

　　因此，站在企業(yè)的角度，漏洞的價(jià)值是潛在的，而漏洞的價(jià)格是直觀的，兩者之間存在巨大差異。但如果站在攻擊者的角度，假如評(píng)估后發(fā)現(xiàn)，通過(guò)利用漏洞成功竊取價(jià)值數(shù)百億的虛擬貨幣，那么這個(gè)潛在的價(jià)值將會(huì)直觀化，愿意為此付出上億美元的代價(jià)就變的可以理解，此時(shí)漏洞潛在價(jià)值和實(shí)際價(jià)格就可以劃等號(hào)。

　　對(duì)于漏洞的價(jià)格，站在企業(yè)角度，漏洞價(jià)值計(jì)算往往由企業(yè)在眾測(cè)方向的預(yù)算決定，即成本；對(duì)于網(wǎng)絡(luò)犯罪組織和黑灰產(chǎn)來(lái)說(shuō)，漏洞價(jià)值取決于借此從企業(yè)和機(jī)構(gòu)處獲得的財(cái)富，即潛在收益；站在白帽黑客的角度，漏洞價(jià)值介于兩者之間，認(rèn)為企業(yè)給的錢太少，當(dāng)然不也敢奢求網(wǎng)絡(luò)犯罪組織的價(jià)格。

　　一個(gè)漏洞值多少錢？這是需求方（企業(yè)、機(jī)構(gòu)），平臺(tái)方（中測(cè)平臺(tái)），提供方（白帽）都必須要深入思考的問(wèn)題。這個(gè)問(wèn)題也在隨著漏洞賞金市場(chǎng)不斷成熟，網(wǎng)絡(luò)犯罪組織趨利性明顯，漏洞潛在威脅日益巨大而處于動(dòng)態(tài)發(fā)展之中。

　　同時(shí)，影響漏洞賞金的決定因素也是多樣且復(fù)雜。從定義范圍，到建立有吸引力的支付區(qū)間和吸引具有堅(jiān)實(shí)基礎(chǔ)的研究人員積極參與，啟動(dòng)一個(gè)獎(jiǎng)勵(lì)項(xiàng)目會(huì)非常復(fù)雜，且會(huì)隨著項(xiàng)目的進(jìn)程愈趨復(fù)雜。

　　就目前來(lái)說(shuō)，漏定價(jià)的兩大錨點(diǎn)是漏洞質(zhì)量與市場(chǎng)競(jìng)爭(zhēng)。

　　1.漏洞質(zhì)量錨定漏洞價(jià)格的下限

　　無(wú)論外部因素多么復(fù)雜，漏洞的質(zhì)量決定了漏洞價(jià)格的下限，也是影響漏洞價(jià)格最核心的因素。簡(jiǎn)單來(lái)說(shuō)，就算是再差的環(huán)境里，那些嚴(yán)重/高危漏洞依舊具有相當(dāng)可觀的賞金，而哪怕漏洞眾測(cè)獎(jiǎng)勵(lì)的環(huán)境再好，很多低質(zhì)量的漏洞也無(wú)法獲得收益。隨著漏洞眾測(cè)行業(yè)持續(xù)發(fā)展，將會(huì)出現(xiàn)高價(jià)值漏洞愈發(fā)值錢，低價(jià)值漏洞愈發(fā)廉價(jià)的情況。

　　2.市場(chǎng)競(jìng)爭(zhēng)拉高漏洞價(jià)格的上限

　　隨著越來(lái)越多的企業(yè)和平臺(tái)參與到漏洞眾測(cè)領(lǐng)域，對(duì)于白帽和漏洞的爭(zhēng)奪戰(zhàn)也隨之打響，漏洞價(jià)格成為核心武器。為了吸引更多白帽的提交漏洞，企業(yè)和眾測(cè)平臺(tái)不得不拉高漏洞的價(jià)格，特別是對(duì)于某些重要的漏洞還會(huì)有額外的獎(jiǎng)勵(lì)。考慮到不同漏洞對(duì)不同廠商的影響不一，如Clickjacking類型漏洞對(duì)某些企業(yè)來(lái)說(shuō)很嚴(yán)重，但對(duì)其它企業(yè)來(lái)說(shuō)只屬于informative類漏洞，因此漏洞的價(jià)格也是根據(jù)市場(chǎng)情況動(dòng)態(tài)臺(tái)調(diào)整的。

　　如何計(jì)算漏洞價(jià)格?

　　漏洞價(jià)格經(jīng)過(guò)了精心的計(jì)算，而不是憑個(gè)人主觀拍腦袋決定，需要考慮的因素包括漏洞嚴(yán)重性、對(duì)最終用戶或客戶的影響范圍、項(xiàng)目預(yù)算、項(xiàng)目階段及保密性、廠商漏洞披露計(jì)劃成熟度等。

　　舉個(gè)栗子，TikTok此前發(fā)布的漏洞獎(jiǎng)勵(lì)計(jì)劃便是基于CVSS規(guī)范評(píng)估漏洞危害，分為嚴(yán)重、高、中、低四檔，其中低危漏洞獎(jiǎng)金在50-200美元之間，中危漏洞為200-1700美元，高危漏洞為1700-6900美元，嚴(yán)重漏洞為6900-14800美元。

　　不同的平臺(tái)、不同的時(shí)期，對(duì)于漏洞賞金的計(jì)算方式有所不同，這里分享一個(gè)常見(jiàn)的漏洞賞金計(jì)算公式，主要考慮因素是漏洞的嚴(yán)重程度和影響范圍：

　　漏洞賞金=基礎(chǔ)獎(jiǎng)勵(lì)金額×漏洞嚴(yán)重程度系數(shù)×漏洞影響范圍系數(shù)

　　基礎(chǔ)獎(jiǎng)勵(lì)金額：平臺(tái)為每個(gè)漏洞設(shè)置的基礎(chǔ)獎(jiǎng)勵(lì)金額。這可以是一個(gè)固定值，也可以是一個(gè)范圍?；A(chǔ)獎(jiǎng)勵(lì)金額反映了平臺(tái)對(duì)漏洞的價(jià)值認(rèn)定。

　　漏洞嚴(yán)重程度系數(shù)：平臺(tái)根據(jù)漏洞的嚴(yán)重程度將其分為不同級(jí)別，每個(gè)級(jí)別對(duì)應(yīng)一個(gè)系數(shù)。嚴(yán)重程度系數(shù)用于調(diào)整獎(jiǎng)勵(lì)金額，使其與漏洞的嚴(yán)重程度相匹配。通常，嚴(yán)重程度越高的漏洞，對(duì)應(yīng)的系數(shù)越大，獎(jiǎng)勵(lì)金額越高。

　　漏洞影響范圍系數(shù)：平臺(tái)根據(jù)漏洞的影響范圍和潛在危害程度設(shè)置系數(shù)。影響范圍系數(shù)用于調(diào)整獎(jiǎng)勵(lì)金額，使其與漏洞的影響范圍和潛在危害相匹配。一般來(lái)說(shuō)，影響范圍越廣、潛在危害越大的漏洞，對(duì)應(yīng)的系數(shù)越大，獎(jiǎng)勵(lì)金額越高。

　　眾測(cè)平臺(tái)賞金金額顯然不止于此，往往還會(huì)設(shè)計(jì)一個(gè)復(fù)雜的獎(jiǎng)勵(lì)公式，以便能夠持續(xù)刺激白帽提交漏洞。對(duì)于比較熱門或迫切的漏洞，眾測(cè)平臺(tái)一般還會(huì)設(shè)置特定的漏洞賞金活動(dòng)，引導(dǎo)白帽力量向某些漏洞領(lǐng)域傾斜。具體的漏洞計(jì)算規(guī)則可以考慮國(guó)內(nèi)主流的漏洞眾測(cè)平臺(tái)——漏洞盒子和補(bǔ)天眾測(cè)，在長(zhǎng)時(shí)間的運(yùn)營(yíng)中他們已經(jīng)積累了大量的運(yùn)營(yíng)經(jīng)驗(yàn)和漏洞評(píng)估技巧。為避免被和諧，本文不分享上述平臺(tái)具體漏洞計(jì)算方式。

　　我們一起看一下阿里云曾發(fā)布的供應(yīng)鏈漏洞的獎(jiǎng)勵(lì)計(jì)劃。該賞金計(jì)劃是為了更好地保障云上用戶的安全，提升安全防御能力，鼓勵(lì)白帽遵循漏洞披露機(jī)制，向其提交供應(yīng)鏈軟件的安全漏洞情報(bào)信息，具體獎(jiǎng)勵(lì)金額如下：
　　從上面可以看出，阿里云對(duì)于漏洞的影響范圍提出了要求，即將漏洞影響廠商分為A-F級(jí)，且漏洞獎(jiǎng)勵(lì)標(biāo)準(zhǔn)僅適用于規(guī)定的廠商，至于規(guī)定外的廠商，阿里云會(huì)根據(jù)廠商應(yīng)用流行程度和漏洞影響范圍，酌情給予獎(jiǎng)勵(lì)。

　　在漏洞嚴(yán)重與緊急程度方面，阿里云依據(jù)CVSS 3.0標(biāo)準(zhǔn)，從攻擊方式（AV）、攻擊復(fù)雜度（AC）、權(quán)限要求（PR）、用戶交互（UI）、影響范圍（S）等多個(gè)方面進(jìn)行計(jì)算，如下：
　　綜合評(píng)定，漏洞得分劃分為：

　　嚴(yán)重（9.6~10.0）

　　高危（7.0~9.5）

　　中危（4.0~6.9）

　　低危（0.1~3.9）

　　無(wú)效（0.0）

　　最終按照相應(yīng)的等級(jí)發(fā)放漏洞獎(jiǎng)勵(lì)。

　　黑市的漏洞價(jià)格非常高

　　黑市上的漏洞基本集中在那些大威力的0-Day漏洞，其中又以iOS漏洞/安卓漏洞居多。2022年蘋果iOS某0day漏洞據(jù)說(shuō)售價(jià)高達(dá)5500萬(wàn)元。

　　近十年以來(lái)，世界各地的各種公司一直向安全研究人員提供賞金，鼓勵(lì)出售漏洞和利用這些漏洞的黑客技術(shù)。與HackerOne或Bugcrowd等傳統(tǒng)漏洞賞金平臺(tái)不同，這些漏洞軍火商公司不會(huì)向產(chǎn)品易受攻擊的企業(yè)發(fā)通知，而是將這些漏洞出售給政府客戶。
　　上圖是漏洞軍火商"Zerodium"發(fā)布的移動(dòng)平臺(tái)漏洞價(jià)目表，可以看到，蘋果iOS系統(tǒng)的RJB Zero Click（零點(diǎn)擊、遠(yuǎn)程、永久越獄）漏洞以150萬(wàn)美金的起步價(jià)格高居榜首。一些常見(jiàn)軟件的漏洞，如Chrome瀏覽器漏洞，價(jià)格在5至15萬(wàn)美元之間，安卓系統(tǒng)漏洞價(jià)格則在1.5萬(wàn)至10萬(wàn)美元之間。
　　在電腦的桌面系統(tǒng)/服務(wù)器系統(tǒng)上，由于漏洞數(shù)量太多，單個(gè)漏洞價(jià)格相較移動(dòng)平臺(tái)有所降低。其中Windows系統(tǒng)的Win RCE Zero Click（零點(diǎn)擊、遠(yuǎn)程、代碼執(zhí)行）漏洞以30萬(wàn)美元起步的價(jià)格居于榜首，其價(jià)格會(huì)根據(jù)漏洞的影響范圍而浮動(dòng)。

　　Zerodium的漏洞收購(gòu)價(jià)取決于被攻擊的軟件或者系統(tǒng)的知名度和安全級(jí)別，以及提交的漏洞質(zhì)量（全鏈或部分鏈、支持的版本/系統(tǒng)/架構(gòu)、可靠性、繞過(guò)漏洞利用緩解、默認(rèn)與非默認(rèn)組件、流程延續(xù)等）。

　　據(jù)谷歌威脅分析小組（TAG）發(fā)布的報(bào)告數(shù)據(jù)顯示，商業(yè)間諜軟件正在持續(xù)購(gòu)買零日漏洞。僅2021年，在TGA跟蹤的九大零日漏洞中，有七個(gè)來(lái)自于漏洞中間商，他們將收購(gòu)的漏洞出售給具有資本或政府支持的組織，賺取巨額利潤(rùn)。

　　其中就包括有大筆預(yù)算的美國(guó)政府和英國(guó)政府，正如我們所熟知的那一，美國(guó)中央情報(bào)局（CIA）或國(guó)家安全局（NSA）等機(jī)構(gòu)是漏洞購(gòu)買的大客戶。

　　威脅分析小組正在持續(xù)跟蹤30多家供應(yīng)商，這些廠商的復(fù)雜性不同、公開(kāi)度各異，但都在向政府支持的黑客出售漏洞。谷歌研究結(jié)果認(rèn)定，以往只有少數(shù)具備技術(shù)專長(zhǎng)的政府才能開(kāi)發(fā)并實(shí)施漏洞利用，但隨著漏洞供應(yīng)商的崛起，具備這種能力的政府已經(jīng)越來(lái)越多。這不僅會(huì)降低互聯(lián)網(wǎng)安全性，同時(shí)也將威脅用戶所依賴的信任。

　　需要注意的是，近年來(lái)被用在商業(yè)間諜領(lǐng)域的漏洞價(jià)格正在持續(xù)走高，這與間諜軟件秘密存儲(chǔ)0-Day漏洞的行為密不可分。

　　NSO的旗艦Pegasus軟件是間諜軟件領(lǐng)域的主要玩家之一，可以遠(yuǎn)程部署到iPhone和安卓設(shè)備上，因此客戶能夠訪問(wèn)目標(biāo)手機(jī)上的數(shù)據(jù)和傳感器。它被以色列政府歸類為武器，其銷售對(duì)象僅限于外國(guó)政府，而不是私人實(shí)體。

　　它利用零日漏洞在設(shè)備所有者不注意的情況下滲入設(shè)備，一旦潛入了系統(tǒng)，就可以復(fù)制消息、收集照片、記錄通話，甚至通過(guò)攝像頭或麥克風(fēng)秘密錄音。

　　在被指控其工具被政府和非政府機(jī)構(gòu)濫用以入侵新聞?dòng)浾吆驼缛耸康氖謾C(jī)后，NSO Group遭到了多起訴訟。這家公司表示，其技術(shù)旨在幫助打擊恐怖主義活動(dòng)以及抓捕戀童癖者和犯罪分子。

　　同樣在持續(xù)走高的還有虛擬貨幣領(lǐng)域的漏洞，當(dāng)一個(gè)漏洞可以隨意操控虛擬貨幣時(shí)，它的價(jià)格將會(huì)以驚人的速度上市。2022年在 immunefi區(qū)塊鏈漏洞獎(jiǎng)金平臺(tái)上， satya0x憑借在跨鏈橋Wormhole上發(fā)現(xiàn)的一個(gè)漏洞，獲得1000萬(wàn)美金，價(jià)格高到令人發(fā)指，這是傳統(tǒng)漏洞挖掘領(lǐng)域不可能存在的“天價(jià)”。

　　你今天挖漏洞了嗎?

　　當(dāng)我們一直在說(shuō)全球進(jìn)入數(shù)字化轉(zhuǎn)型與數(shù)字經(jīng)濟(jì)之中時(shí)，卻未曾發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞正在以一種可怕的速度增長(zhǎng)，危害性越來(lái)越高，和普通人的生活越來(lái)越近，物聯(lián)網(wǎng)/數(shù)字化/智能化等趨勢(shì)正在讓漏洞的威力成倍增加。

　　對(duì)于漏洞的懸賞也在持續(xù)增加。獎(jiǎng)金數(shù)額的提升和范圍擴(kuò)大皆能表明，廠商們已然意識(shí)到了漏洞對(duì)安全的重要性。還需要注意的是，很多關(guān)鍵性的漏洞已經(jīng)成為網(wǎng)絡(luò)攻防戰(zhàn)的關(guān)鍵，在地緣政治博弈的全球背景下，漏洞已經(jīng)是一種戰(zhàn)略資源。

　　所以，你今天挖漏洞了嗎?