Bugcrowd 發表駭客之心研究報告 87% 喜揭漏洞更勝犯罪

資安業界與駭客對抗已逾數十年，雙方向來是水火不容，有你無我的對抗格局。然而，有一家創立於澳洲雪梨，總部設址在舊金山的資安新創公司－Bugcrowd，決定反其道而行，決定「以夷制夷」，建立創新的駭客合作平台，吸引數十萬名安全研究人員與駭客加入，成為「群眾外包安全測試」的先驅。

Bugcrowd 執行長 Dave Gerry 在墨爾本舉辦的 2023 澳洲資安大會期間所舉辦的媒體聚會中談到 Bugcrowd 創立的初衷不只是利用駭客來尋找網路或系統漏洞，更希望能集結全球駭客社群的力量，幫助客戶快速部署防禦措施，取回資訊安全的主動權。

Bugcrowd 資安主管 Sajeeb Lohani 也談到 Bugcrowd 不只是一家找漏洞的公司，「事實上我們比較像是紫隊，結合負責攻擊方紅隊與防守方藍隊的角色，我們既要試著攻擊客戶的網路找出漏洞，也要負責部署防禦措施阻擋可能的攻擊。」

資安現況的挑戰

根據 IDC 的最新報告預測，2023 年全球企業在資安方面的投資金額高達 2,190 億美元，比去年增加 12%。「但安全漏洞的數量依然不斷攀升，單純依靠資安產品或工具是無法滿足企業防禦安全漏洞快速增加的挑戰。」Dave Gerry 說道。

Dave Gerry 認為，企業在資安方面正面臨了三大困境。一是資安工具分散，使得企業無法清晰看清網路環境導致理解威脅狀態變得困難；二是供應鏈安全的問題，許多企業目前正忙於釐清並確保其供應鏈的安全性，避免拖垮別人或被別人拖垮；三是組織內部人員對資安的態度，每個人都應該在資安方面負起責任，而不只是資安團隊與資安長 (CISO) 的事情。

此外，資安人才短缺問題持續存在，產業界沒有從基層開始培養發展人才，應該提供更多的機會，幫助他們成為未來的資安專家。

Gartner 的報告則指出，預計有 50% 的大型企業資安長將不得不轉向以人為中心的安全設計實踐。這強調了人的因素在網路安全中的核心地位，並提出即使面對數量巨大的安全漏洞，如何有效地保護組織和客戶資料，仍是關鍵所在。

駭客之心研究報告

既然攻擊行為出自於駭客，那麼駭客社群真正的樣貌又是什麼？Bugcrowd 訪問了 1,000 名駭客，製作了一份駭客之心的報告。訪問得到的數據顯示駭客並非我們所想像的那樣是一群只想賺錢的黑心機器。

「有 87% 的受訪者表示揭露漏洞比期待金錢回報更加重要，」Bugcrowd 資安主管 Sajeeb Lohani 解釋道：「這反映了他們更看重社會公益和社群效應，而非僅僅是經濟利益。然而，問題是不是所有公司都有恰當的溝通渠道去接收這些資訊，這是非常關鍵的一點。」

此外，有 89% 的受訪者認為企業對駭客的看法變得更加正面，這是一個顯著的進步，這意味著企業與駭客之間的合作將會逐漸緊密，雙方開始認識到互相合作將可以提高企業的安全性。

更值得關心的是，有 75% 的受訪者認為他們尋找漏洞的動力並不來自於金錢，「這包括像我這樣的人，我在 Bugcrowd 的駭客排行榜上排名 40，我們駭客不僅僅是為了錢，也是希望能夠創造自己的精彩故事，同時幫助社會。」Sajeeb Lohani 認為駭客有能力，也希望能夠與社會和諧相處。

而最重要的發現是有 96% 的受訪者同意自己能夠為企業補上技術缺口，例如 Bugcrowd 雖然內部已有一支技術團隊，也不可能在每天 8 小時的工作時間內確保涵蓋所有的資安技術層面。Sajeeb Lohani 表示 Bugcrowd 透過漏洞懸賞計畫，號召駭客社群的眾多高手一同加入，快速補上技術缺口，這也是 Bugcrowd 過去數年來能夠業務快速成長的主要關鍵。

駭客社群與國際衝突

然而，駭客社群往往與許多國際衝突事件糾纏不清，甚至各有立場。Bugcrowd 身處駭客社群之中，該如何保持中立？

BugCrowd 執行長 Dave Gerry 表示作為一家美國公司，將基於政府制裁名單限制可以合作的對象，「美國政府制裁的國家，我們不會與那些國家的駭客合作。就國際衝突而言，我們總會堅決反對任何對平民的暴力行為，此立場堅定不變。」

Dave Gerry 表示：「從我們的社群角度來看，只有約 19% 的駭客在美國，意味著駭客們來自世界各地，每個人都有不同的觀點，最終依然得交給政治家來解決問題，我們不會在任何特定的衝突中直接選邊站隊，除非是對平民的暴力行為。我們相信自己有義務為客戶提供價值，為駭客社群提供價值，做正確的事情。這是我們的核心價值之一。」

積極參與公共政策

雖然 Dave Gerry 表示 Bugcrowd 在國際衝突之間保持中立，但並不代表 Bugcrowd 自外於政策圈，反而非常積極參與各國政府的公共政策制定，例如與澳大利亞內政部合作、參與英國物聯網安全法案、加入美國駭客政策委員會(Hacking Policy Council, HPC) 與支援美國聯邦通信委員會。

在產業界方面，BugCrowd 參與了 OpenAI 的錯誤獎勵解決方案計劃，在確保人工智慧的安全性方面發揮重要作用。

除了政策參與之外，Bugcrowd 建立了 Bugcrowd 大學，培育年輕的資安研究員，因此駭客社群上增加了不少未滿 18 歲的新血，未來也將會是推動資安產業的重要力量。