赏金和更大的独立性是黑客希望进行更多自由职业漏洞搜寻的主要动机,受到金钱和更大自由前景的诱惑,道德黑客越来越热衷于漏洞赏金,三分之二的人将其视为全职职业。这是根据比利时漏洞赏金平台Intigriti的一份新报告(PDF)得出的,该报告还发现96%的道德黑客希望将更多时间用于追逐赏金。主要的吸引力是金钱——48%的受访者最有吸引力的地方——仅次于成为自己老板的愿望和按自己的时间工作的能力。其他原因包括在世界任何地方工作的能力、单独工作的能力以及智胜恶意黑客的机会。根据该报告,超过一半的漏洞赏金猎人也在其他地方从事全职工作,大约三分之一是学生。
尽管如此,仍有22%的人从赏金中获得超过四分之一的总收入——考虑到英国渗透测试人员的平均基本工资约为38000英镑(51000 美元),这是一个巨大的提升。
Intigriti的黑客负责人Inti De Ceukelaire说:“全职的漏洞赏金狩猎非常符合当今许多专业人士的愿望:灵活性、创造力、远程工作和引人入胜的项目。”
“然而,全职漏洞赏金狩猎的工作方式与任何自由职业者的工作方式大致相同。例如,由于他们的技能组合可用的机会,专业人士的收入可能比另一个多。因此,大多数研究人员都希望将自己的能力提升到一个特定的水平,然后再进行全职的漏洞赏金狩猎。”
有趣的是,许多道德黑客表示,尽管网络安全威胁不断增加,但他们并没有从雇主那里得到他们需要的东西来保持他们的技能和知识最新。例如,在一般信息安全专业知识的情况下,一半(50%)的人表示他们转向漏洞赏金搜寻以获取最相关和最有用的知识,只有11%的人将他们的工作作为首选。
“当网络威胁不断演变时,很难在发展技能和应对当前需求之间找到适当的平衡,”De Ceukelaire说。“然而,漏洞赏金计划为这个问题提供了可持续的解决方案,因为它涉及持续的漏洞研究。”
同时,许多受访者表示,渗透测试无法持续保证组织全年安全。自2021年5月以来,三分之二的Intigriti道德黑客表示他们遇到了以前从未遇到过的漏洞,其中三分之一的人表示他们不相信该漏洞可以通过传统的渗透测试发现。
调查发现,让Intigriti及其竞争对手感到欣慰的是,黑客通常热衷于通过中介平台寻找漏洞搜寻机会——事实上,四分之一的人表示这是他们准备参与的唯一方式。
近十分之六(57%)的受访者表示,这是因为直接与供应商合作通常缺乏法律框架的保护,而42%的受访者表示流程通常不如漏洞赏金平台的流程精细。其他原因包括可用的支持较少和缺乏分类部门。
不幸的是,De Ceukelaire说,由于漏洞赏金仍然是一种相对较新的测试方法,许多组织在分配任何预算方面都很缓慢——这可能是一个代价高昂的错误。
事实上,四分之一的受访者表示他们之前发现了漏洞,但拒绝报告,因为相关的漏洞披露计划没有提供经济回报。
“尽管他们强烈希望提供帮助,但许多安全研究人员希望为他们的报告付费。对于更严重的发现,报告漏洞需要研究人员花费数小时的时间,在某些情况下,可能需要数天时间,”De Ceukelaire说。
“因此,公司提供的服务将在很大程度上决定他们的漏洞赏金计划吸引哪些研究人员——从初学者到全职专业人士。”
评论已关闭。