从漏洞赏金到BlueHat奖：安全研究价值评估的演进思维

今天在MSRC博客上，Matt Thomlinson宣布了BlueHat奖，这是微软有史以来首次提供的最大激励奖金，旨在寻求和奖励计算机安全防御的新思路。虽然你可以在新项目网站上获取竞赛的详细信息，但我想谈谈BlueHat奖背后的一些因素，以及为什么我们认为防御性安全技术是像微软这样的供应商投资的关键领域。

微软决定为运行时缓解技术的创新提供高额现金奖励（20万美元的大奖，其次是5万美元的二等奖），既是为了认可防御性安全工作的价值，也是为了鼓励更多安全专家开始思考缓解措施。

一些组织为发现并报告其产品中安全漏洞的安全研究人员提供小额现金奖励。随着更多供应商开始为其产品中的个别漏洞提供漏洞赏金，许多人推测微软会跟随这一趋势。在考虑这种方法之前，我们分析了与安全研究人员动机相关的数据；现有白市、灰市和黑市中的漏洞和利用价格；当然，还有微软漏洞发现者通常如何处理他们的发现。

我们的发现可以总结如下：

1. 动机：研究人员除了金钱之外还有许多其他动机，包括认可（无论是公开的还是仅在同龄人中）。
2. 价格：卖给白市的漏洞价格甚至无法接近灰市和黑市提供的金额。所谓“白市”，我们指的是要么将细节私下提供给供应商以修复问题的漏洞经纪人，要么是一些供应商直接提供的漏洞赏金。所谓“灰市和黑市”，我们指的是那些购买漏洞和利用用于攻击性用途，并且特别不向供应商提供信息以帮助修复漏洞的人。没有任何组织为自家产品中的漏洞提供漏洞赏金，也没有白市漏洞经纪人提供旨在与灰市和黑市价格“竞争”的价格。
3. 披露：90%的安全研究人员选择直接向微软私下报告漏洞，而不是通过白市漏洞经纪人寻求金钱支付。

考虑到这一点，微软尊重研究人员是否为他们发现的漏洞寻求个人支付的选择，如果他们愿意，当然有途径可以这样做。如果研究人员确实出售他们的漏洞发现，我们希望他们选择白市漏洞经纪人，以便在细节公开和客户风险放大之前，为微软提供修复问题的机会。

那么，如果金钱似乎不是大多数愿意私下报告微软产品问题的研究人员的主要动机，为什么我们决定为防御性安全研究提供巨额现金奖励？因为我们相信现有的安全研究经济长期以来一直专注于攻击。

作为一家公司，微软认为保护我们产品的最佳方式不是通过被动措施，而是在整个产品生命周期中投资于安全开发，以及整体平台防御技术。

我们决定不与现有的白市漏洞经济竞争，而是开创一项前所未有的新事物，引入一个新的经济因素和激励措施，而这是以前不存在的。虽然微软继续通过我们的安全开发生命周期投资于提高产品安全性，并通过我们的安全响应流程处理个别漏洞报告，但我们同时着眼于保护我们平台的愿景，以及我们奖励安全研究社区的方式。

我们希望其他希望寻求全球安全研究人才库帮助的供应商也会考虑这种投资和奖励防御性安全技术创新的模式。我们还希望当前和未来的安全研究人员会受到BlueHat奖的启发，在设计新的攻击技术时考虑防御方面。根据我们的经验，一些最好的防御者来自安全攻击方面。

我是Katie Moussouris，这就是“安全策略师”在微软的工作。现在你知道了。:-)

你可以在Twitter上关注我：https://twitter.com/k8em0