如何评估一个网安漏洞的市场价值？

过去一年，网络安全漏洞频频创新高。安全研究巨头Qualys在其《2023年网络威胁安全回顾》报告中指出，全球披露的计算机漏洞数量高达26447个。这一数字在历史横轴上创下了新纪录，为—— 个。与上一年的25050 个漏洞相比，同比猛增5.2%。

漏洞披露数量的不断增加是由于错误赏金计划的不断推进和改进。随着赏金激励模式的不断成熟，越来越多的企业、机构甚至平台积极参与其中，并携手众多安全研究人员，共同发现和审查隐藏或潜在的安全威胁，以保护网络世界的安全。

例如，2023年，美国国防部携手安全界研究人员，高调启动第三轮“黑客攻击五角大楼”计划。同时，OpenAI还宣布同年启动新一轮的Bug赏金活动。广受好评的漏洞测试平台HackerOne于2023年10月宣布，自2012年公司成立以来，其漏洞赏金计划已向全球白帽黑客和安全研究人员发放了超过3亿美元的奖金。

回顾2022年，白帽黑客通过漏洞赏金计划向谷歌披露了超过2900个漏洞，谷歌为此支付了总计超过1200万美元的赏金。其中，单个漏洞的最高奖励已飙升至60万美元，折合人民币超过400万元，这无疑给漏洞发现者带来了巨大的致富机会。打破了之前的漏洞赏金记录，这表明安全研究人员在该领域的努力和贡献得到了前所未有的回报。

## **漏洞的价格取决于什么？ **

脆弱性的评估问题一直存在争议。就连全球最受欢迎的bug赏金平台公布的价格也难免受到质疑，其中所蕴含的矛盾困境几乎是无解的。什么决定了漏洞的市场价值？

很多时候，我们习惯于将漏洞的价值与其可能造成的危害和影响结合起来考虑。以2018年的情况为例。当EOS系统被360安全团队发现价值数百亿的安全漏洞时，整个行业都震惊了，周鸿祎也公开证实了该漏洞的真实性。那次事件发生后，每一个网络安全人都被漏洞所隐藏的巨大破坏力所恐惧。

然而，真的可以说这个漏洞真的价值数百亿美元吗？显然这是不可能的。即使将估计降低到千分之一，也可能过于乐观。如果小于千分之一，那就比较现实了。脆弱性与经济损失之间的关系并不是一条简单的直线。黑客要想成功，在发现和利用漏洞时必须克服多重技术门槛，其中复杂性和不确定性并存。如果该漏洞从未被发现，那么该漏洞对企业来说是不可见的，根本不会损害企业资产。

因此，从企业的角度来看，漏洞的价值是潜在的，而漏洞的价格是直观的。两者之间存在巨大差异。但从攻击者的角度来看，如果经过评估发现利用漏洞成功窃取了数百亿虚拟货币，那么这种潜在价值将是直观的，愿意为此付出数亿美元也是可以理解的。这时，漏洞的潜在价值就可以与实际价格划等号了。

关于漏洞的价格，从企业的角度来看，漏洞价值的计算往往是由公司公开测试的预算，即成本来决定的；对于网络犯罪组织和黑灰产品来说，漏洞的价值取决于从企业和机构获得的财富，即潜在利益；从白帽黑客的角度来看，漏洞的价值介于两者之间。他们认为企业给的钱太少，当然不敢向网络犯罪组织要价。

一个漏洞值多少钱？这是需求方（企业、机构）、平台方（中测平台）、提供方（白帽子）必须深入思考的问题。随着漏洞赏金市场的不断成熟，网络犯罪组织逐利性明显，漏洞的潜在威胁也越来越巨大，这个问题也在动态发展。

同时，bug赏金的决定因素也是多样且复杂的。从定义范围，到建立有吸引力的付款范围，再到吸引有坚实基础的研究人员积极参与，启动奖励计划可能很复杂，并且随着计划的进展将变得更加复杂。

目前，泄漏定价的两大支柱是漏洞质量和市场竞争。

### 1、漏洞质量锚定漏洞价格下限

无论外部因素多么复杂，漏洞的质量决定了漏洞价格的下限，也是影响漏洞价格的核心因素。简单来说，无论环境有多恶劣，那些严重/高危漏洞仍然有可观的赏金，而无论漏洞公测奖励的环境有多好，许多低质量的漏洞也无法获得收益。随着漏洞测试行业的不断发展，高价值的漏洞将变得更有价值，低价值的漏洞将变得更便宜。

### 2.市场竞争提高漏洞价格上限

随着越来越多的企业和平台参与到漏洞公测领域，白帽子和漏洞之争也已经打响，漏洞价格成为核心武器。为了吸引更多的白帽子提交漏洞，企业和公共测试平台不得不提高漏洞的价格，特别是对于一些重要的漏洞，还会有额外的奖励。考虑到不同的漏洞对不同厂商的影响不同，例如点击劫持类漏洞对于某些公司来说非常严重，但对于其他公司来说只是信息性漏洞，因此漏洞的价格也会根据市场情况动态调整。

### **如何计算漏洞价格？**

漏洞价格是经过仔细计算的，而不是根据个人主观决定来决定的。需要考虑的因素包括漏洞的严重性、对最终用户或客户的影响范围、项目预算、项目阶段和保密性以及制造商漏洞披露计划的成熟度。

例如，TikTok此前发布的漏洞奖励计划是基于CVSS规范来评估漏洞危害性，分为严重、高、中、低四个级别。低风险漏洞奖金为50-200美元，中风险漏洞为200-1,700美元，高风险漏洞为1,700-6,900美元，严重漏洞为6,900-14,800美元。

不同平台、不同时期，Bug 赏金的计算方法不同。这是一个常见的错误赏金计算公式。主要考虑的是漏洞的严重性和范围：

Bug赏金=基本奖励金额×漏洞严重度系数×漏洞影响范围系数

- 基础奖励金额：平台针对每个漏洞设定的基础奖励金额。这可以是固定值或范围。基础奖励金额体现了平台对漏洞的价值判定。

- 漏洞严重性系数：平台根据漏洞的严重程度将漏洞分为不同的等级，每个等级对应一个系数。严重性因子用于调整奖励金额以匹配漏洞的严重性。一般情况下，漏洞严重程度越高，对应的系数越大，奖励金额越高。

- 漏洞影响范围系数：平台根据漏洞影响范围和潜在危害设定系数。范围因子用于调整奖励金额以匹配漏洞的范围和潜在危害。一般来说，漏洞范围越广，潜在危害越大，相应系数越大，奖励金额越高。

公共测试平台的赏金金额显然不止于此，而且往往会设计复杂的奖励公式来持续刺激白帽子提交漏洞。对于热门或紧急的漏洞，公共测试平台一般会设立具体的漏洞赏金活动，引导白帽势力向某些漏洞领域倾斜。具体的漏洞计算规则可以考虑国内主流漏洞公测平台——漏洞盒子和拍天公测。他们在长期的运营过程中积累了大量的运营经验和漏洞评估技能。为了避免受到伤害，本文不分享上述平台的具体漏洞计算方法。

我们来看看阿里云发布的供应链漏洞奖励计划。此次赏金计划是为了更好地保护云用户的安全，提高安全防御能力，鼓励白帽子遵循漏洞披露机制，向云用户提交供应链软件的安全漏洞情报信息。具体奖励金额如下：

从上述可以看出，阿里云对漏洞影响范围提出了要求，即将受漏洞影响的厂商分为A-F级，漏洞奖励标准仅适用于指定厂商。对于不符合规定的厂商，阿里云将根据厂商应用的受欢迎程度以及漏洞影响范围给予适当的奖励。

针对漏洞严重性和紧迫性，阿里云基于CVSS 3.0标准，从攻击方式（AV）、攻击复杂度（AC）、权限要求（PR）、用户交互（UI）、影响范围（S）等多个方面进行计算，具体如下：

根据综合评估，漏洞评分分为：

- 重度（9.6~10.0）

- 高风险（7.0~9.5）

- 中等风险（4.0~6.9）

- 低风险（0.1~3.9）

- 无效（0.0）

最后，漏洞奖励将按照相应等级进行分配。

## **黑市上的漏洞利用价格非常高**

黑市上的漏洞基本都集中在那些厉害的0-Day漏洞上，而且大部分都是iOS漏洞/Android漏洞。 2022年，苹果iOS的一个0day漏洞据称售价高达5500万元。

近十年来，世界各地的多家公司一直在向安全研究人员提供奖金，以鼓励销售漏洞和利用这些漏洞的黑客技术。与HackerOne 或Bugcrowd 等传统漏洞赏金平台不同，这些漏洞武器公司不会通知其产品存在漏洞的公司，而是将这些漏洞出售给政府客户。

上图是漏洞军火商“Zerodium”发布的移动平台漏洞价目表。可以看到，苹果iOS系统的RJB Zero Click（零点击、远程、永久越狱）漏洞以150万美元起价位居第一。一些常见软件的漏洞，如Chrome浏览器漏洞，成本在5万美元到15万美元之间，Android系统的漏洞成本在15000美元到10万美元之间。

在计算机桌面系统/服务器系统上，由于漏洞数量较多，单个漏洞的代价比移动平台上要低。其中，Windows系统的Win RCE Zero Click（零点击、远程、代码执行）漏洞排名第一，起价为30万美元，其价格会根据漏洞范围而波动。

Zerodium 的漏洞购买价格取决于被攻击的软件或系统的受欢迎程度和安全级别，以及提交的漏洞的质量（全链或部分链、支持的版本/系统/架构、可靠性、绕过漏洞利用缓解、默认与非默认组件、流程延续等）。

根据谷歌威胁分析小组（TAG）发布的报告数据，商业间谍软件持续购买零日漏洞。仅2021 年，TGA 追踪的9 个顶级零日漏洞中有7 个来自漏洞中间商，这些中间商将获得的漏洞出售给有资本或政府支持的组织，并获取巨额利润。

其中包括拥有大量预算的美国政府和英国政府。众所周知，中央情报局（CIA）或国家安全局（NSA）等机构是漏洞购买的大客户。

威胁分析小组继续跟踪30 多家供应商，这些供应商的复杂程度和宣传程度各不相同，向政府支持的黑客出售漏洞。谷歌研究得出的结论是，过去只有少数拥有技术专长的政府才能开发和实施漏洞利用程序，但随着漏洞供应商的崛起，越来越多的政府拥有这种能力。这不仅会降低互联网的安全性，还会威胁到用户所依赖的信任。

需要注意的是，近年来商业间谍领域利用的漏洞价格不断上涨，这与间谍软件暗中存储0-Day漏洞的行为密不可分。

NSO 的旗舰Pegasus 软件是间谍软件领域的主要软件之一，可以远程部署到iPhone 和Android 设备，以便客户可以访问目标手机上的数据和传感器。它被以色列政府列为武器，其销售仅限于外国政府，而不是私人实体。

它利用零日漏洞在所有者不知情的情况下渗透设备，一旦进入系统，它就可以复制消息、收集照片、通话录音，甚至通过摄像头或麦克风秘密录音。

NSO 集团因被指控被政府和非政府机构滥用其工具侵入记者和政客的电话而受到多起诉讼。该公司表示，其技术旨在帮助打击恐怖主义、抓捕恋童癖者和罪犯。

同样持续上升的还有虚拟货币领域的漏洞。当一个漏洞可以随意操纵虚拟货币时，其价格将以惊人的速度冲击市场。 2022年，在@immunefi区块链漏洞赏金平台上，@satya0x因跨链桥Wormhole上发现的漏洞获得了1000万美元。价格太离谱了。这是传统漏洞挖掘领域不可能存在的“天价”。

## **你今天挖坑了吗？**

当我们一直在说世界正在进入数字化转型、进入数字经济的时候，我们却没有发现网络安全漏洞正在以可怕的速度增长，危害性越来越大，越来越接近普通百姓的生活。物联网/数字化/智能化等趋势正在加剧漏洞的威力。

针对漏洞的赏金也在不断增加。赏金金额的增加和范围的扩大表明厂商已经意识到漏洞对于安全的重要性。还应该看到，许多关键漏洞已成为网络攻防战的关键。在全球地缘政治博弈的背景下，脆弱性已成为一种战略资源。

那么，今天你挖到漏洞了吗？转载自freebuf：[https://www.freebuf.com/articles/neopoints/389484.html](https://www.freebuf.com/articles/neopoints/389484.html)作者：爱吃炸鸡