Marten Mickos,安全初创公司HackerOne现任CEO,一位从MySQL到Sun, 再从Nokia 到HP 的资深高管。一路走来,即使在加入HackerOne初期,他也不觉得特别兴奋。安全行业竞争激烈,压力很大,但在了解了HackerOne的漏洞众测模式之后,他开始觉得信心百倍。
在这篇访谈中,美国国际数据集团CCO John Gallant与Marten Mickos就HackerOne的运营模式和平台机制作了深入交流,同时,还对主流公司如何接受安全众测的态度和观点作了探讨。
HackerOne究竟是做什么的?
HackerOne专门帮助企业寻找互联网系统漏洞。HackerOne旨在为全球安全研究者和企业打造一个特殊的中间平台,在这个平台上,企业发出安全测试请求,黑客给出测试报告,然后企业依据报告的有效性给予黑客一定现金奖励。
在全球互联网信息技术主导的极客经济中,永远都不会有足够的人手来解决问题,即使是大公司的安全团队,也不可能发现所有漏洞。但是对于白帽黑客来说,只要有所回报,他们很乐意帮助企业来做这件事情。
你在这个中间平台扮演什么角色?你是如何操作的?
当然,最低级的是首先得和各家公司通过HackerOne平台邮件系统就安全问题进行协商讨论。另外,我们还有一套专门的软件平台来解决这个问题,该系统会自动识别HackerOne平台的安全邮件和报告,通过识别发件人是否为黑客老手或新人来判断安全问题的严重性。
该软件平台能解决各种漏洞打分、报告、支付等详细问题,另外,还能与各种系统和软件开发周期工具接口集成,如JIRA、GITHUB等。为漏洞提交和处理提供一种自动化的SaaS服务。
企业如何对发现的安全漏洞定价?你会帮助他们吗?
是的。目前为止,我们已经支付了超过一千万美元的漏洞赏金,这是世界上最大的漏洞支付数据库,因此,我们可以为企业客户给出准确的漏洞市场定价和支付参考。漏洞定价主要有三个主要因素:
首先,是漏洞的稀缺性。如跨站等大多数普通漏洞,虽然很不错,但不会支付太多;而像SQL注入、远程代码执行等很难发现的漏洞就会得到很高的赏金支付。其次,最重要的因素是漏洞的严重性。可以通过衡量漏洞是否会导致严重数据泄露,并以此作为相应的支付依据。另外,是企业自身意愿。有些企业对漏洞定价总是保持平均水平,即不多付也不会少付;而有些企业又比较大气,漏洞赏金通常都是高于平均水平,当然,这既能提高黑客自身价值感又能吸引黑客。
如果我是一名黑客,如何判断哪些漏洞值得我花时间研究?
我们拥有7万多名注册黑客和安全研究者,如果你是其中一员,你可以通过我们的漏洞项目排行入手,确定参与项目和发现漏洞。在项目简介中,你可以查看那些支付最高、响应最快、新注册项目或持续项目的相关情况。当然,每个黑客都有自己发现漏洞的方法,一旦建立了良好的漏洞积分和声誉,就会被邀请参与那些不公开的私密测试项目。
HackerOne平台有私密漏洞测试项目?
是的。目前我们的平台大概有600个漏洞测试项目,其中三分之二属于私密项目,这些私密项目在测试一段时间后将会转为公开项目。像Uber、Yelp的漏洞项目在不久之后将会向所有注册黑客公开。
每家企业的漏洞测试项目都要从私密到公开吗?
通常来说是的,但并不是全部。像通用汽车公司(GM)的漏洞测试项目一开始就是公开的。
HackerOne平台客户大多是众所周知的互联网企业,你们如何说服像通用汽车公司这种典型的实体企业?
是的。当前整个市场格局正在发生转变,我们还有很多参与私密漏洞测试项目的传统或保守企业,这些是公开项目中看不到的。漏洞赏金的做法最早在云计算公司中比较流行,随之普及到软件系统,而现在任何一家公司都具有软件系统。这和开源软件概念类似,互联网公司总是第一批用户群体,从最早的Yahoo到Google,再到现在的每家公司一样。
传统和保守的企业一样在使用开源软件。而安全空间的转变和此类似,只不过稍微有些快而已。我们和国防部合作开展的“Hack the Pentagon”项目就是很好的证明,那些最保守、最强大的机构已经开始意识到漏洞众测的重要性和必要性。
你能详细介绍一下与美国国防部开展的“Hack thePentagon”项目吗?
该项目由国防部发起,他们选择与我们合作,是因为他们意识到外部黑客的渗透测试对发现漏洞非常有用。我们随后为他们建立了一个持续几周时间的试验性项目,在项目初期,他们认为我们只有为数不多的黑客能发现少数漏洞,但结果超乎想像。通过注册审查的1400名黑客总共提交了1200份漏洞报告,其中138份是有效且亟需修复的漏洞报告,最终,国防部确认了漏洞并向黑客支付了赏金。
这是一个很成功的项目。即使是最强大的机构同样需要审查自身,当然,这或许也能侧面说明,国防部高层具有超前的意识和思维。寻求一些来自外部的帮助是必须的。
最低和最高漏洞赏金是什么范围?
HackerOne对最低有效漏洞的支付通常是100美元,总体来说,每个漏洞赏金平均是530美元左右,我们对单个漏洞的最高支付曾达到3000美元。而且,目前,我们有企业客户声称愿意对单个漏洞最高奖励增加到5000美元。
你能告诉我们这是一家什么公司吗?
当然可以。这是一家在欧洲芬兰的保险公司,他们意识到了信息安全的价值,经过在HackerOne一年的测试项目后,他们决定把最高奖励提高到5000美金。
HackerOne是否有争议解决机制?假如一名黑客提交的漏洞真实有效,而企业却声称已经掌握或修复,这如何解决?
当然,我们在企业和黑客之间是有一套协调机制的。通常来说,众测是基于信任和市场力量的,这就意味着如果一家公司不想支付更好赏金或是响应太慢,那么黑客就会对其项目失去兴趣,其项目也就失去存在价值。支付赏金的高低和按时由企业自己决定,但如果黑客对此有异议,可以点击“Request Mediation”申请调解,我们在介入之后会给出对双方最好的建议。到目前为止,我们的调解案例都能让双方满意。
没有一个黑客是不耐烦的,当然,也没有一个企业认为其收到的漏洞报告是毫无价值的。我们只是让双方都能了解对方的期望,并使需求得到满足。这就像市场功能一样,必须让供需双方达到平衡。
考虑到安全带来的威胁和关注,我们会看到需求大于供应的情况吗?HackerOne聚集了大量白帽黑客和安全专家,这种供需平衡的状况能维持多久?
这是个很重要的问题。目前为止,我们已经出现了一些轻微的黑客过剩问题,因为黑客注册的速度远比企业厂商要快,不过我们仍然在加快需求市场的开拓,尽量想办法平衡。我们有用不完的黑客,我们也对其中一些特别的比较了解,如目前最年轻的注册黑客只是13或14岁的样子,经过几年的历练到17、18岁的年纪,他们将会是我们这个平台中最优秀的。这有点像体育联赛一样,拥有年轻后备力量是非常有用的。
全球互联网进程的加快和良好的工科教育将会产生更多黑客,现在我们平台有来自印度、巴基斯坦、孟加拉、俄罗斯、美国、智利、阿根廷等国的注册黑客,他们大多数非常年轻,而且非常优秀,他们让世界变得更安全的同时也赚取了该得的报酬。黑客人才是非常之多的,就像开源软件一样,将会有更多的贡献者。
为了在供需不平衡的情况下吸引安全人才,会适当提高奖金吗?
是的。这是一种自我修复机制,而且我们已经注意到平均漏洞赏金正在慢慢上涨。虽然这种缓慢增涨不会无止境,但能从侧面反映出整个平台的安全容量在逐渐变大。目前,通过我们的平台已经为企业客户发现并修复了3万多个重要漏洞。我想我们应该算是业内行家。
随着更多主流公司和众测项目的不断增多,HackerOne平台的安全依赖程度将会变得更高,你觉得这样会对黑客犯罪方面有所吸引或改变吗?
当然。即使有犯罪存在,但我还是相信人性本善。有很多聪明的年轻人得不到周围环境的认同和欣赏,正好,我们为他们提供了这样一个发挥才智的平台。只要他们本性是好的,他们一定可以发光发热。而且,他们可以依靠这个平台来平衡自身和社会的矛盾。这个世界遥远城市的15岁少年从HackerOne上赚取赏金去缴纳学费的事例,极大地激励了我们的工作热情,我甚至觉得HackerOne还发挥了社会工作平台的作用。
你们如何对提交的漏洞报告保证安全性?
我们一直以安全方式来建设平台,甚至是我们自己都无法查看提交的漏洞报告。一些非常敏感或严重的漏洞报告,在完全公开之前,只有黑客自己和客户才有权查看。为了建立安全的工作平台,我们采取了多种防护措施来保护我们的网站。另外,即使是被提交的漏洞经过修复,我们也提倡企业客户公开这些漏洞报告,这样可以为更多的安全团队和软件开发工程师学习了解,以创建更安全的软件系统。当然,企业之间也能做到相互参考学习。
你们的商业模式大多都是“关系营销”还是积极推销?你们是如何争取到更多客户的?
Inbound Marketing,又叫集客营销, 是让顾客自己找上门的营销策略,是一种“关系营销”或是“许可营销”,营销者以自己的力量挣得顾客的青睐,而非传统广告方式去拉顾客。
目前为止,我们几乎都是依靠“关系营销”模式来积累客户。我们的销售团队基本是做服务工作而非市场。我们的网站基本就是用来做营销传播的工具。很多企业客户总说:我们听说过很多漏洞赏金项目,像Hack the Pentagon,像Twitter,Uber,我们希望开展这样的项目。之后,合作就这样开始了。可以说全社会已经开始慢慢接受这种做法了,有了这样的认可,我们的商业和市场拓展就会变得非常轻松。
其它漏洞众测公司与HackerOne是一种竞争关系吗?
良性竞争才能创造健康的市场生态。有些企业还没有开展类似的漏洞测试项目,那我们可以帮助弥补这样的短板;而有些企业却有自己非常出色的漏洞众测项目,如Facebook,Google等。
目前,在硅谷附近就有三家漏洞众测公司,Synack、Cobalt.io和Bugcrowd,都各有特点和优势。与这三家公司相比,我们能占据上峰的原因是因为我们有着迄今为止最大的黑客社区和最活跃的漏洞市场。我们支付的漏洞赏金是其它同行业公司的四倍甚至五倍。
你觉得漏洞众测赏金模式会慢慢取代那些大公司独立的漏洞测试项目吗?
是的,我认为我们正在朝着那个方向迈进。考虑到漏洞的多样性,大量黑客群体发现的那些独特漏洞,小团队肯定做不到。当然,我们还有质量保证。我们希望在不久的将来,HackerOne给客户的印象会是更好的披露方式、多样的安全测试和满意的测试结果。想占有市场的观点当然是合理的,因为我们正在汇集世界各地的优秀黑客形成资源并推向市场。
你加入HackerOne已经9个月了,有什么感受?
加入公司之后,我才知道黑客可以如此年轻。通常我们都要经过10到15年才能成为专家,我们平台的顶尖黑客确实在安全行业磨练了15到20年。但是让我感慨的是,那些加入平台的青少年他们的学习能力如此之强之快,并能迅速成长为优秀黑客。在和他们的交谈中,你可以明显感受到我们已经老了。他们在互联网时代中迅速成长。就像HackerOne的两名创始人一样,从青年黑客起家成立社区,到现在26岁仍然很专注于技术。
在漏洞赏金项目之外,你还看到其它发展机遇吗?或者说在安全领域之内,HackerOne还会开展其它业务吗,如渗透测试之类的。?
当然。我觉得这只是时间问题。其实本质上讲,我们正在打造世界上最大的安全人才库,对企业和黑客来说,漏洞赏金项目可能是最快最见效的商业模式。与黑客发挥的作用相比,我们的工作微不足道。我们可以提供渗透测试服务,可以开展私密测试,可以举办特殊的编程马拉松等等。有一些黑客甚至还通过HackerOne平台找到了全职工作,这主要归功于他们在这个平台的能力和声誉。我们可以汇聚大量的技术人才,当然,我希望我们能成为既能为客户提供黑客服务、也能为黑客提供客户需求的双向渠道市场。
参考:NetworkWorld