分享
'%3e%3cpath%20d='M12.8276%205.73367L12.5096%208.74976H10.0987V17.4995H6.47736V8.74976H4.67285V5.73367H6.47736V3.91783C6.47736%201.46481%207.49748%200%2010.3973%200H12.807V3.01609H11.299C10.1739%203.01609%2010.0987%203.44123%2010.0987%204.22665V5.73367H12.8276Z'%20fill='%2398A2B3'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_162_3194'%3e%3crect%20width='17.4995'%20height='17.4995'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
'%3e%3cpath%20d='M6.91992,6l14.2168,20.72656l-14.9082,17.27344h3.17773l13.13867,-15.22266l10.44141,15.22266h10.01367l-14.87695,-21.6875l14.08008,-16.3125h-3.17578l-12.31055,14.26172l-9.7832,-14.26172z'%3e%3c/path%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
漏洞懸賞(Bug bounty)的市場發展趨勢,有望成為全民資安運動
有鑑於層出不窮的資安漏洞及其帶來的大小不等危害,資安專家除了設法分析和修補漏洞以外,還藉由祭出獎勵的方式,吸引志願者協助發掘潛在資安漏洞,此一策略稱為「漏洞懸賞(Bug bounty)」。可讓資安人才藉此活動大顯身手,跟資安專家一起解決棘手的漏洞和隱患,甚至演變成一個具有成長潛力的趨勢。
趨勢發展背景
漏洞被駭客發掘(Exploit)和攻破(Compromise)後,往往會造成鉅額損失,跟駭客的廉價攻擊成本完全不成比例。因此,IT產業希望能藉由「重賞之下必有勇夫」的策略,舉辦「Bug bounty」的活動,雖然提供的獎金可能不算多,但至少比因為駭客滲透漏洞而造成的損失遠遠來得少,進而間接減少後續可觀的修補和回復成本。
另外,參與「Bug Bounty」活動的成員多為IT產業的外部志願者,IT產業可藉由活用外部人才的領域知識,來強化自身欠缺的資安能量,並在某種程度上降低人力和軟硬體購置的成本,使IT產業藉由漏洞懸賞活動受益。
產業趨勢說明
由於道高一尺、魔高一丈的資安威脅逐漸增溫,使得傳統資安工具趕不上資安威脅的成長速度,因而帶動了漏洞懸賞活動的需求,令漏洞懸賞活動隨著受到IT產業界的歡迎,開始演變為一種成長趨勢。
根據Google的資料指出,2021年Google對外發出的漏洞懸賞總獎金為870萬美元,2022年則成長為1,200萬美元;2022年漏洞懸賞總獎金的發放對象,包含68個國家共超過700名研究人員,總計解決了2,900多個漏洞,其中最高得獎者單項獲得60.5萬美元獎勵。
圖 1 Google Bug Bounty 2015~2022總獎金成長趨勢
資料來源: (Jacobus, 2023)
圖 2 Google Bug Bounty 2022獎金發放統計
資料來源: (Kovacs, 2023)
依據市調機構Business Research Insights指出,漏洞懸賞活動的全球產值,從2021年的9.73億美元,預估在2031年達到49.69億美元,複合年均成長率(CAGR)達到15.94%
圖 3 Business Research Insights漏洞懸賞活動產值預測(2021~2031)
資料來源: (Business Research Insights, 2024)
另外,市調機構Verified Market Reports也指出,漏洞懸賞活動的全球產值,從2023年的11.3億美元,預估在2030年達到35.37億美元,CAGR為17.82%。
未來展望/挑戰
隨著軟體開發進入了敏捷世代、AI世代,開發速度不但突飛猛進,開發的產量和能量也連帶成長,讓軟體開發進入了一個以往難以想像的境界,並且在敏捷開發工法、AI自動撰寫和修補原始碼、安全軟體開發生命週期(SSDLC)、軟體用料清單(SBOM)等新世代安全開發工具和概念導入後,除了提升開發效率,也增加開發的安全性。
另外,隨著AI在軟體開發愈來愈普及,並且能輔助敏捷開發作業,可望能在比以往更短的時間內,完成更複雜的漏洞修復作業;AI甚至能進一步在「漏洞懸賞」活動中,扮演更積極主動的角色,及早發現和防堵潛在資安漏洞,來減少比「漏洞懸賞」獎金更為可觀的資安損失。
封面圖片來源: 123RF
參考資料來源:
- Business Research Insights. (2024, April). Bug Bounty Platforms Market Size, Share, Growth, And Industry Analysis, By Type (Cloud, SaaS Web, Mobile-Android Native, Mobile-iOS Native, Host), By Application (Finance & Banking, Software Development, Retail, Government, Other), Regional Forecast By 20. Retrieved from Business Research Insights: https://www.businessresearchinsights.com/market-reports/bug-bounty-platforms-market-102501
- Jacobus, S. (2023, February 22). Vulnerability Reward Program: 2022 Year in Review. Retrieved from Google Security Blog: https://security.googleblog.com/2023/02/vulnerability-reward-program-2022-year.html
- Kovacs, E. (2023, February 22). Google Paid Out $12 Million via Bug Bounty Programs in 2022. Retrieved from Security Week: https://www.securityweek.com/google-paid-out-12-million-via-bug-bounty-programs-in-2022/
- Verified Market Reports. (2024, June). Global Bug Bounty Platforms Market By Type (Cloud, SaaS), By Application (Finance & Banking, Software Development), By Geographic Scope And Forecast. Retrieved from Verified Market Reports: https://www.verifiedmarketreports.com/product/global-bug-bounty-platforms-market-growth-status-and-outlook-2019-2024/
李啟榮
2024-09-10
