HackerOne CEO專訪：我們正在打造全球最大的安全人才庫

Marten Mickos，安全初創公司HackerOne現任CEO，一位從MySQL到Sun, 再從Nokia 到HP 的資深高管。一路走來，即使在加入HackerOne初期，他也不覺得特別興奮。安全行業競爭激烈，壓力很大，但在了解了HackerOne的漏洞眾測模式之後，他開始覺得信心百倍。

在這篇訪談中，美國國際數據集團CCO John Gallant與Marten Mickos就HackerOne的運營模式和平台機製作了深入交流，同時，還對主流公司如何接受安全眾測的態度和觀點作了探討。

HackerOne究竟是做什麼的？

HackerOne專門幫助企業尋找互聯網系統漏洞。HackerOne旨在為全球安全研究者和企業打造一個特殊的中間平台，在這個平台上，企業發出安全測試請求，黑客給出測試報告，然後企業依據報告的有效性給予黑客一定現金獎勵。

在全球互聯網信息技術主導的極客經濟中，永遠都不會有足夠的人手來解決問題，即使是大公司的安全團隊，也不可能發現所有漏洞。但是對於白帽黑客來說，只要有所回報，他們很樂意幫助企業來做這件事情。

你在這個中間平台扮演什麼角色？你是如何操作的？

當然，最低級的是首先得和各家公司通過HackerOne平台郵件系統就安全問題進行協商討論。另外，我們還有一套專門的軟體平台來解決這個問題，該系統會自動識別HackerOne平台的安全郵件和報告，通過識別發件人是否為黑客老手或新人來判斷安全問題的嚴重性。

該軟體平台能解決各種漏洞打分、報告、支付等詳細問題，另外，還能與各種系統和軟體開發周期工具介面集成，如JIRA、GITHUB等。為漏洞提交和處理提供一種自動化的SaaS服務。

企業如何對發現的安全漏洞定價？你會幫助他們嗎？

是的。目前為止，我們已經支付了超過一千萬美元的漏洞賞金，這是世界上最大的漏洞支付資料庫，因此，我們可以為企業客戶給出準確的漏洞市場定價和支付參考。漏洞定價主要有三個主要因素：

首先，是漏洞的稀缺性。如跨站等大多數普通漏洞，雖然很不錯，但不會支付太多；而像SQL注入、遠程代碼執行等很難發現的漏洞就會得到很高的賞金支付。其次，最重要的因素是漏洞的嚴重性。可以通過衡量漏洞是否會導致嚴重數據泄露，並以此作為相應的支付依據。另外，是企業自身意願。有些企業對漏洞定價總是保持平均水平，即不多付也不會少付；而有些企業又比較大氣，漏洞賞金通常都是高於平均水平，當然，這既能提高黑客自身價值感又能吸引黑客。

如果我是一名黑客，如何判斷哪些漏洞值得我花時間研究？

我們擁有7萬多名註冊黑客和安全研究者，如果你是其中一員，你可以通過我們的漏洞項目排行入手，確定參與項目和發現漏洞。在項目簡介中，你可以查看那些支付最高、響應最快、新註冊項目或持續項目的相關情況。當然，每個黑客都有自己發現漏洞的方法，一旦建立了良好的漏洞積分和聲譽，就會被邀請參與那些不公開的私密測試項目。

HackerOne平台有私密漏洞測試項目？

是的。目前我們的平台大概有600個漏洞測試項目，其中三分之二屬於私密項目，這些私密項目在測試一段時間后將會轉為公開項目。像Uber、Yelp的漏洞項目在不久之後將會向所有註冊黑客公開。

每家企業的漏洞測試項目都要從私密到公開嗎？

通常來說是的，但並不是全部。像通用汽車公司（GM）的漏洞測試項目一開始就是公開的。

HackerOne平台客戶大多是眾所周知的互聯網企業，你們如何說服像通用汽車公司這種典型的實體企業？

是的。當前整個市場格局正在發生轉變，我們還有很多參與私密漏洞測試項目的傳統或保守企業，這些是公開項目中看不到的。漏洞賞金的做法最早在雲計算公司中比較流行，隨之普及到軟體系統，而現在任何一家公司都具有軟體系統。這和開源軟體概念類似，互聯網公司總是第一批用戶群體，從最早的Yahoo到Google，再到現在的每家公司一樣。

傳統和保守的企業一樣在使用開源軟體。而安全空間的轉變和此類似，只不過稍微有些快而已。我們和國防部合作開展的「Hack the Pentagon」項目就是很好的證明，那些最保守、最強大的機構已經開始意識到漏洞眾測的重要性和必要性。

你能詳細介紹一下與美國國防部開展的「Hack thePentagon」項目嗎？

該項目由國防部發起，他們選擇與我們合作，是因為他們意識到外部黑客的滲透測試對發現漏洞非常有用。我們隨後為他們建立了一個持續幾周時間的試驗性項目，在項目初期，他們認為我們只有為數不多的黑客能發現少數漏洞，但結果超乎想像。通過註冊審查的1400名黑客總共提交了1200份漏洞報告，其中138份是有效且亟需修復的漏洞報告，最終，國防部確認了漏洞並向黑客支付了賞金。

這是一個很成功的項目。即使是最強大的機構同樣需要審查自身，當然，這或許也能側面說明，國防部高層具有超前的意識和思維。尋求一些來自外部的幫助是必須的。

最低和最高漏洞賞金是什麼範圍？

HackerOne對最低有效漏洞的支付通常是100美元，總體來說，每個漏洞賞金平均是530美元左右，我們對單個漏洞的最高支付曾達到3000美元。而且，目前，我們有企業客戶聲稱願意對單個漏洞最高獎勵增加到5000美元。

你能告訴我們這是一家什麼公司嗎？

當然可以。這是一家在歐洲芬蘭的保險公司，他們意識到了信息安全的價值，經過在HackerOne一年的測試項目后，他們決定把最高獎勵提高到5000美金。

HackerOne是否有爭議解決機制？假如一名黑客提交的漏洞真實有效，而企業卻聲稱已經掌握或修復，這如何解決？

當然，我們在企業和黑客之間是有一套協調機制的。通常來說，眾測是基於信任和市場力量的，這就意味著如果一家公司不想支付更好賞金或是響應太慢，那麼黑客就會對其項目失去興趣，其項目也就失去存在價值。支付賞金的高低和按時由企業自己決定，但如果黑客對此有異議，可以點擊「Request Mediation」申請調解，我們在介入之後會給出對雙方最好的建議。到目前為止，我們的調解案例都能讓雙方滿意。

沒有一個黑客是不耐煩的，當然，也沒有一個企業認為其收到的漏洞報告是毫無價值的。我們只是讓雙方都能了解對方的期望，並使需求得到滿足。這就像市場功能一樣，必須讓供需雙方達到平衡。

考慮到安全帶來的威脅和關注，我們會看到需求大於供應的情況嗎？HackerOne聚集了大量白帽黑客和安全專家，這種供需平衡的狀況能維持多久？

這是個很重要的問題。目前為止，我們已經出現了一些輕微的黑客過剩問題，因為黑客註冊的速度遠比企業廠商要快，不過我們仍然在加快需求市場的開拓，盡量想辦法平衡。我們有用不完的黑客，我們也對其中一些特別的比較了解，如目前最年輕的註冊黑客只是13或14歲的樣子，經過幾年的歷練到17、18歲的年紀，他們將會是我們這個平台中最優秀的。這有點像體育聯賽一樣，擁有年輕後備力量是非常有用的。

全球互聯網進程的加快和良好的工科教育將會產生更多黑客，現在我們平台有來自印度、巴其斯坦、孟加拉、俄羅斯、美國、智利、阿根廷等國的註冊黑客，他們大多數非常年輕，而且非常優秀，他們讓世界變得更安全的同時也賺取了該得的報酬。黑客人才是非常之多的，就像開源軟體一樣，將會有更多的貢獻者。

為了在供需不平衡的情況下吸引安全人才，會適當提高獎金嗎？

是的。這是一種自我修復機制，而且我們已經注意到平均漏洞賞金正在慢慢上漲。雖然這種緩慢增漲不會無止境，但能從側面反映出整個平台的安全容量在逐漸變大。目前，通過我們的平台已經為企業客戶發現並修復了3萬多個重要漏洞。我想我們應該算是業內行家。

隨著更多主流公司和眾測項目的不斷增多，HackerOne平台的安全依賴程度將會變得更高，你覺得這樣會對黑客犯罪方面有所吸引或改變嗎？

當然。即使有犯罪存在，但我還是相信人性本善。有很多聰明的年輕人得不到周圍環境的認同和欣賞，正好，我們為他們提供了這樣一個發揮才智的平台。只要他們本性是好的，他們一定可以發光發熱。而且，他們可以依靠這個平台來平衡自身和社會的矛盾。這個世界遙遠城市的15歲少年從HackerOne上賺取賞金去繳納學費的事例，極大地激勵了我們的工作熱情，我甚至覺得HackerOne還發揮了社會工作平台的作用。

你們如何對提交的漏洞報告保證安全性？

我們一直以安全方式來建設平台，甚至是我們自己都無法查看提交的漏洞報告。一些非常敏感或嚴重的漏洞報告，在完全公開之前，只有黑客自己和客戶才有權查看。為了建立安全的工作平台，我們採取了多種防護措施來保護我們的網站。另外，即使是被提交的漏洞經過修復，我們也提倡企業客戶公開這些漏洞報告，這樣可以為更多的安全團隊和軟體開發工程師學習了解，以創建更安全的軟體系統。當然，企業之間也能做到相互參考學習。

你們的商業模式大多都是「關係營銷」還是積極推銷？你們是如何爭取到更多客戶的？

Inbound Marketing，又叫集客營銷， 是讓顧客自己找上門的營銷策略，是一種「關係營銷」或是「許可營銷」，營銷者以自己的力量掙得顧客的青睞，而非傳統廣告方式去拉顧客。

目前為止，我們幾乎都是依靠「關係營銷」模式來積累客戶。我們的銷售團隊基本是做服務工作而非市場。我們的網站基本就是用來做營銷傳播的工具。很多企業客戶總說：我們聽說過很多漏洞賞金項目，像Hack the Pentagon，像Twitter，Uber，我們希望開展這樣的項目。之後，合作就這樣開始了。可以說全社會已經開始慢慢接受這種做法了，有了這樣的認可，我們的商業和市場拓展就會變得非常輕鬆。

其它漏洞眾測公司與HackerOne是一種競爭關係嗎？

良性競爭才能創造健康的市場生態。有些企業還沒有開展類似的漏洞測試項目，那我們可以幫助彌補這樣的短板；而有些企業卻有自己非常出色的漏洞眾測項目，如Facebook，Google等。

目前，在矽谷附近就有三家漏洞眾測公司，Synack、Cobalt.io和Bugcrowd，都各有特點和優勢。與這三家公司相比，我們能佔據上峰的原因是因為我們有著迄今為止最大的黑客社區和最活躍的漏洞市場。我們支付的漏洞賞金是其它同行業公司的四倍甚至五倍。

你覺得漏洞眾測賞金模式會慢慢取代那些大公司獨立的漏洞測試項目嗎？

是的，我認為我們正在朝著那個方向邁進。考慮到漏洞的多樣性，大量黑客群體發現的那些獨特漏洞，小團隊肯定做不到。當然，我們還有質量保證。我們希望在不久的將來，HackerOne給客戶的印象會是更好的披露方式、多樣的安全測試和滿意的測試結果。想佔有市場的觀點當然是合理的，因為我們正在彙集世界各地的優秀黑客形成資源並推向市場。

你加入HackerOne已經9個月了，有什麼感受？

加入公司之後，我才知道黑客可以如此年輕。通常我們都要經過10到15年才能成為專家，我們平台的頂尖黑客確實在安全行業磨練了15到20年。但是讓我感慨的是，那些加入平台的青少年他們的學習能力如此之強之快，並能迅速成長為優秀黑客。在和他們的交談中，你可以明顯感受到我們已經老了。他們在互聯網時代中迅速成長。就像HackerOne的兩名創始人一樣，從青年黑客起家成立社區，到現在26歲仍然很專註於技術。

在漏洞賞金項目之外，你還看到其它發展機遇嗎？或者說在安全領域之內，HackerOne還會開展其它業務嗎，如滲透測試之類的。？

當然。我覺得這只是時間問題。其實本質上講，我們正在打造世界上最大的安全人才庫，對企業和黑客來說，漏洞賞金項目可能是最快最見效的商業模式。與黑客發揮的作用相比，我們的工作微不足道。我們可以提供滲透測試服務，可以開展私密測試，可以舉辦特殊的編程馬拉松等等。有一些黑客甚至還通過HackerOne平台找到了全職工作，這主要歸功於他們在這個平台的能力和聲譽。我們可以匯聚大量的技術人才，當然，我希望我們能成為既能為客戶提供黑客服務、也能為黑客提供客戶需求的雙向渠道市場。

**參考來源：NetworkWorld， FB小編clouds編譯，轉載請註明來自FreeBuf（FreeBuf.COM）