近一年白帽子们共提交了1384个有效漏洞报告,斩获近1.2亿元奖金,每人可领取近35万元,平均一个漏洞8.6万元。
2020年至2023年间,微软每年通过漏洞赏金计划支付大约1300万美元。自2018年以来,微软支付的赏金总额累积达到7550万美元。
在过去一年,微软推出了18个漏洞赏金计划,涵盖了Azure、Microsoft 365、Windows、Power Platform、Dynamics 365、Edge和Xbox等产品和服务。漏洞包括跨站点脚本、跨站点请求伪造、服务器端请求伪造、跨租户数据篡改或访问以及注入漏洞。
微软的漏洞赏金是对研究软件漏洞的研究人员的最大财政奖励之一。重要的是,这些研究人员要将漏洞报告给相关供应商,而不是通过地下市场将漏洞卖给网络犯罪分子,或者利用经纪人将漏洞分发给政府机构。
通过漏洞赏金可以帮助微软及供应商减少零日漏洞,在攻击者利用这些漏洞入侵系统之前,可以阻止漏洞产生的影响,有助于在漏洞被披露后保护系统免受攻击。2023的第一个重大零日漏洞,几乎影响所有组织
不得不说,微软赏金计划可以帮助其更快的发现漏洞,降低被攻击的可能性。
其实,任何软件、任何系统都存在不可避免的安全漏洞,甚至有些安全漏洞可能在企业机构中长期存在。
今天,业界所有人都已经意识到安全漏洞是不可避免的,它可以在公司网络中长期存在,非专业安全机构很难检测和发现到,并且会不断出现。最初导致企业数据泄露的漏洞可能是未知的,未被发现以前它们可能一直都存在。
因此,政企不应抱有侥幸心理,应从被动转为主动,积极为安全薄弱点增加防护策略和手段,建立坚实安全的严密堡垒,强化防护策略,避免数据泄露、网络安全事件的发生。