如何确定支付正确的漏洞赏金金额？

在Intigriti，我们密切关注那些已经建立漏洞赏金计划的企业最常提出的问题。本文专门回答最常见的问题，深入探讨热门话题，并分享实用且专家支持的策略，帮助您最大化漏洞赏金计划的成功。

行业标准、基准测试和计算器

虽然网络安全领域的许多人都熟悉CVSS（通用漏洞评分系统）——一个用于计算网络安全漏洞严重性的开放网络安全框架，但该框架已有多个版本和改编版本。最新版本（4.0）旨在评估跨多个环境和维度的安全漏洞严重性，包括可利用性、影响、范围等，并提供相应的数值分数（0.0到10.0）。每个分数对应一个严重性标签（无、低、中、高、严重），并为这些标签设置了奖励支付标准。

通过在漏洞赏金中使用CVSS，漏洞严重性评估实现了标准化，这意味着减少了支付偏差，特别是在收到多个提交时。这也意味着赏金与风险保持一致，并提供了为什么赏金价值"x"而不是"y"的理由。

漏洞赏金计算器（如Intigriti的计算器）自动化了这一过程，并向您展示您的支付在不同严重性级别上的表现。

其他元素可以用来补充CVSS，例如利用预测评分系统（EPSS），可用于预测漏洞被利用的概率。这可以补充CVSS v4.0，因为它识别最有可能被针对的理论漏洞，这意味着团队可以进一步优先处理他们的工作。

启用灵活赏金

考虑到这一点，设置最低和最高支付以覆盖严重性级别。为什么？因为并非所有资产都是平等的，需要赏金分层系统来确保为业务关键目标提供更高的支付。通过最小和最大范围，研究人员了解潜在支付，同时您保持基于资产或可利用性深度公平奖励的灵活性。

“更高级的方法，范围赏金允许程序编辑者为每个严重性级别定义最小和最大赏金金额。这个范围实现了更精细的奖励系统。提交的严重性映射到CVSS分数，这反过来决定了设定范围内的可能赏金。如果需要，程序成员可以手动覆盖严重性级别，并且在无法获得CVSS分数的情况下，将使用最小范围金额。” – 范围赏金

当研究人员以新方式在复杂系统中发现关键或特殊漏洞时，可以使用自定义赏金来表彰出色的工作。这可能会额外激励其他研究人员，因为它表明，虽然设置了上限，但公司愿意奖励创新研究，并且有财务能力这样做。

为什么财务范围对研究人员很重要？基准测试更高有帮助吗？

大多数研究人员受经济收益驱动。虽然许多其他因素可能激励研究人员，例如认可、慈善或仅仅是挑战的刺激，但经济收益是一个主要因素。这意味着他们重视公平和可预测的奖励、关于支付的透明度以及对高努力的认可。

当预算紧张时，设定更高的赏金通常是一个困难的决定。但这在ROSI方面可以显著回报，因为您的程序会吸引更多有才华的研究人员。请记住，在网络安全中，预防总是比治疗更具成本效益。

“更高层级的奖励可以帮助激励研究人员投入时间在这些更复杂或更坚固的目标上。许多程序所有者将新添加的范围从第3、4或5层开始，然后随着它成熟且易于发现的漏洞得到解决，将其移至更高层级。” – 赏金层级

有才华的研究人员更倾向于优先考虑设定更高奖励结构并公平竞争他们的时间和技能的程序。组织不仅从更深入的测试中受益，还从更有价值的发现和更强的安全态势中受益。此外，如果研究人员知道在您的平台上狩猎可以期待什么，并且可以看到对他们工作的快速公平响应，他们更有可能与您的程序互动，并在未来尝试寻找更复杂的漏洞。

为了在市场上保持竞争力，请向您的客户成功经理（CSM）索取行业比较，以了解实时平均值，以便您的程序保持吸引力并在长期内有效。

随着成长而调整

一个成功的赏金程序系统地奖励发现的漏洞的严重性和研究人员的努力，确保公平和一致的补偿。基准范围并根据影响进行微调。不要害怕在程序发展过程中进行调整。最好每六到十二个月审查一次结构，看看是否需要更改赏金。

增强漏洞赏金之旅的后续步骤

有关本文中任何要点的更多信息，请立即联系团队。并密切关注我们的下一篇博客，在那里我们将剖析向我们团队提出的另一个热门问题！

• 对特定主题感兴趣？通过发送电子邮件至pr@intigriti.com将您希望得到答案的问题发送给我们