如何知道我支付的漏洞赏金金额是否合理？

在Intigriti，我们一直密切关注那些已经建立漏洞赏金项目的人最常提出的问题。这就是我们推出这个博客系列的原因，致力于回答最常见的问题，深入探讨热门话题，并分享实用且得到专家支持的战略，帮助您最大化漏洞赏金的成功。

在本系列中，我们已经回答了：

• 如何吸引安全研究员测试我的漏洞赏金项目？
• 公开漏洞赏金项目后可以预期什么样的模式？
• 我应如何在漏洞赏金项目中界定第三方资产的范围？
• 如何获得更多的漏洞赏金提交和更高严重性的发现？

今天，我们讨论如何确定您为提交支付的赏金金额是否合适。

行业标准、基准测试和计算器

虽然网络安全领域的许多人都熟悉CVSS（通用漏洞评分系统），这是一个用于计算网络安全漏洞严重性的开放网络安全框架，但该框架已有多个版本和改编。最新版本（4.0）旨在评估跨多个环境和维度的安全漏洞严重性，包括可利用性、影响、范围等，并提供所述漏洞的数值分数（0.0到10.0）。每个分数对应一个严重性标签（无、低、中、高和严重），为此设定了奖励支付。

通过在漏洞赏金中使用CVSS，错误严重性的评估得以标准化，这意味着减少了支付偏差，特别是在进行多次提交时。这也意味着赏金与风险保持一致，并提供了为什么赏金价值“x”而不是“y”的理由。

漏洞赏金计算器，如Intigriti的计算器，自动化此过程并向您展示您的支付在各个严重性级别上的对比情况。

其他元素可用于补充CVSS，例如利用预测评分系统（EPSS），可用于预测漏洞被利用的概率。这可以补充CVSS v4.0，因为它识别最有可能成为目标的 theoretical 漏洞，这意味着团队可以进一步优先处理他们的工作。

启用灵活赏金

考虑到这一点，设定最低和最高支付以覆盖严重性级别。为什么？因为并非所有资产都是平等的，需要赏金分层系统以确保为业务关键目标支付更高的赏金。通过最低和最高范围，研究人员了解潜在的支付，而您保持灵活性，根据资产或可利用性的深度公平奖励。

“一种更高级的方法，范围赏金允许项目编辑为每个严重性级别定义最低和最高赏金金额。这个范围实现了更精细的奖励系统。提交的严重性映射到CVSS分数，这反过来决定了设定范围内的可能赏金。项目成员可以在需要时手动覆盖严重性级别，并且在无法获得CVSS分数的情况下，将使用最低范围金额。” – 范围赏金

当研究人员以复杂系统或新方式发现关键或特殊漏洞时，可以使用自定义赏金来表彰出色的工作。这还可以激励其他研究人员，因为它表明，虽然设有上限，但公司愿意奖励创新研究，并且有财务能力这样做。

在此处阅读更多关于如何在成长过程中吸引安全研究员到您的项目的信息。

为什么财务范围对研究人员很重要？基准测试更高有帮助吗？

大多数研究人员受经济收益驱动。虽然许多其他因素可能激励研究人员，例如认可、慈善或仅仅是挑战的刺激，但经济收益是一个顶级竞争者。这意味着他们重视公平和可预测的奖励、关于支付的透明度以及对高努力的认可。

当预算紧张时，设定更高的赏金通常可能是一个困难的决定。但这可以在ROSI方面显著回报，因为您的项目吸引了更多有才华的研究人员。请记住，在网络安全中，预防总是比处理更具成本效益。

“更高层级的奖励可以帮助激励研究人员投入时间到这些更复杂或更坚固的目标上。许多项目所有者将新添加的范围从第3、4或5层开始，然后随着它成熟且易于发现的漏洞得到解决，将其移至更高层级。” – 赏金层级

有才华的研究人员更倾向于优先考虑设定更高奖励结构并公平竞争他们的时间和技能的项目。组织不仅从更深入的测试中受益，还从更有价值的发现和更强的安全态势中受益。此外，如果研究人员知道在您的平台上狩猎可以期待什么，并且看到对他们的工作快速公平的响应，他们更有可能与您的项目互动，并在未来尝试寻找更复杂的错误。

为了在市场上保持竞争力，请向您的客户成功经理（CSM）索取行业比较，以了解实时平均值是多少，以便您的项目保持吸引力并在长期内有效。

随着成长而调整

成功的赏金项目系统地奖励发现的漏洞的严重性和研究人员的努力，确保公平和一致的补偿。基准范围并根据影响进行微调。不要害怕在项目发展过程中进行调整。最好每六到十二个月审查一次结构，看看是否需要更改赏金。

在此处探索更多关于在启动漏洞赏金项目的前六个月内可以预期的模式和应采取的行动。

下一步增强您的漏洞赏金之旅

有关本文中任何要点的更多信息，请立即联系团队。并留意我们的下一篇博客，在那里我们将剖析向我们团队提出的另一个热门问题！

• 对某个特定主题感兴趣？通过发送电子邮件至pr@intigriti.com，将您希望得到答案的问题发送给我们。