安基网 欢乐生肖 资讯 安全报 查看内容

以色列漏洞经纪人:怎样给网络漏洞定价?

2019-8-22 01:26| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近日,第七届互联网安全大会(ISC 2019)在北京召开,来自以色列Q-recon公司的知名漏洞经纪人莫尔·施瓦茨发表演讲,并与现场观众分享了0day漏洞的买卖经验及技巧。莫尔·施瓦茨指出,近两年来,越来越多的合法的漏洞交易通过银行完成,加上相关执照的发放,人们开始思考并认为漏洞交易并非隐私经济, ...

近日,第七届互联网安全大会(ISC 2019)在北京召开,来自以色列Q-recon公司的知名漏洞经纪人莫尔·施瓦茨发表演讲,并与现场观众分享了0day漏洞的买卖经验及技巧。莫尔·施瓦茨指出,近两年来,越来越多的合法的漏洞交易通过银行完成,加上相关执照的发放,人们开始思考并认为漏洞交易并非隐私经济,而更多的是开放经济。未来将会有越来越多的漏洞交易发生。

图:以色列漏洞经纪人莫尔·施瓦茨在ISC 2019发表演讲

据HackerOne 2018年的报告显示,全球共有超过166000名注册黑客的研究员,他们提交72000多个漏洞,但70%都属于在网络上非常容易找到的漏洞,比如CSAS等,这些厂商最多提供几百美金的酬劳。到了2019年,有30万注册的黑客他们注册到HackerOne里报告了十万的漏洞,其中73%属于比较容易找到的漏洞。

对于如何将漏洞卖出好价钱,莫尔·施瓦茨从买方、卖方和漏洞本身的价值三个维度进行了分享:

谁会购买0day漏洞?

莫尔·施瓦茨表示,关于谁对于0day漏洞比较感兴趣这个问题,从传统角度来讲主要是三类人,包括白帽、灰帽以及黑帽。对于白帽而言,他们有很多的公司、平台和程序等;从灰色还有黑帽的角度来讲,则包括机器人、攻击型的安全公司以及政府。

谁会去售卖0day漏洞?

其中有HackerOne、Bugcrowd等高端的研究组织,还有一些高端的研究人员,他们在那些防御式的安全公司当中工作,比如360的郑文彬,此外还有更小型的群体,他们是在攻击型行业当中工作,他们有为政府公司提供服务,这一小群人他们是高端的研究人员,在世界范围内只有四百多人是属于这样小型的群体。

如何将0day漏洞卖出好价钱?

研究人员可以从几个维度去判断漏洞的价格:供求、通用性和独有性。 “供求”是影响漏洞价格的最重要因素,如果你要卖一个漏洞,而买方市场已经有了解决方案了,那意味着这个漏洞一文不值;漏洞的通用性也很重要,如果你找到了一个泛在的安卓漏洞,它会影响到很多安卓系统,影响范围越大那漏洞可以卖出的价钱就越高;再者是漏洞的独有性,不过不同的漏洞有不同的价格点,比如六个月前你所有的价格都只是针对专有漏洞的,但过去六个月市场出现了很大的改变,现在有更多的需求超过了供应,最后这些公司都愿意去购买非独家的非专属的漏洞。

莫尔·施瓦茨还提醒,在签署漏洞买卖合同时,首先要确定漏洞特定的配置、规格,在费用和款项方面,可以通过预付款等方式来进行风险的分担,最大程度地保护自己的利益。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6727595872688800260/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
秒速快3 吉林快3 三分时时彩 极速快乐8 上海时时乐 内蒙古快三走势图 快3平台 欢乐生肖 幸运赛车 三分时时彩