Recently, bug-bounty programs have gained popularity and become a significant part of the security culture of many organizations. Bug-bounty programs enable organizations to enhance their security posture by harnessing the diverse expertise of crowds of external security experts (i.e., bug hunters). Nonetheless, quantifying the benefits of bug-bounty programs remains elusive, which presents a significant challenge for managing them. Previous studies focused on measuring their benefits in terms of the number of vulnerabilities reported or based on the properties of the reported vulnerabilities, such as severity or exploitability. However, beyond these inherent properties, the value of a report also depends on the probability that the vulnerability would be discovered by a threat actor before an internal expert could discover and patch it. In this paper, we present a data-driven study of the Chromium and Firefox vulnerability-reward programs. First, we estimate the difficulty of discovering a vulnerability using the probability of rediscovery as a novel metric. Our findings show that vulnerability discovery and patching provide clear benefits by making it difficult for threat actors to find vulnerabilities; however, we also identify opportunities for improvement, such as incentivizing bug hunters to focus more on development releases. Second, we compare the types of vulnerabilities that are discovered internally vs. externally and those that are exploited by threat actors. We observe significant differences between vulnerabilities found by external bug hunters, internal security teams, and external threat actors, which indicates that bug-bounty programs provide an important benefit by complementing the expertise of internal teams, but also that external hunters should be incentivized more to focus on the types of vulnerabilities that are likely to be exploited by threat actors.


翻译:最近,错误赔偿方案受到欢迎,并成为许多组织安全文化的重要部分。错误赔偿方案使各组织能够利用外部安全专家(即虫猎人)群集的各种专门知识来加强其安全态势。然而,量化错误赔偿方案的好处仍然难以实现,这给管理这些方案带来了重大挑战。以往的研究侧重于从报告的脆弱性数量或所报告的脆弱性的特性(例如严重性或可利用性)来衡量其好处。然而,除了这些内在性能外,报告的价值还取决于一个威胁行为体在内部专家发现和补补补外部安全专家之前发现其脆弱性的可能性。在本文中,我们对铬和Firefox脆弱性回报方案的数据驱动研究仍然难以实现。首先,我们用重新发现的可能性作为新的衡量标准来估计发现脆弱性的困难。我们的研究结果表明,脆弱性发现和弥补通过使威胁行为体难以找到脆弱性,从而明显地发现脆弱性;然而,我们还查明改进风险的机会,比如,在内部风险类型之前,由外部类型专家发现的重要风险类型。我们通过利用外部脆弱性来比较这些脆弱性。我们发现,通过利用外部风险小组来发现内部脆弱性的弱点的弱点,我们发现,通过外部风险小组的弱点的弱点的弱点的种类,通过发现,我们发现,我们发现内部风险的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点的弱点是更明显性是更明显性,通过发现,通过发现, ——我们观察,通过外部小组是比较的弱点是比较的弱点,我们所发现,我们所发现,我们发现,通过发现,通过外部小组在外部小组的弱点的弱点的弱点的弱点是比较的弱点的弱点的弱点的弱点的弱点的弱点的弱点是比较的弱点的弱点的弱点的弱点,我们所发现,我们所发现,我们发现,我们发现, ——通过发现,我们发现,我们发现,通过发现,通过发现,通过利用的小组的弱点的弱点的弱点的弱点的弱点的弱点的弱点的变变的变变的变变的变的变的变的变的变的变的变的变的变的变的变的变的变的变的变的变的变的变的变的变的变的变的变的变的</s>

0
下载
关闭预览

相关内容

Chromium 是一个开源浏览器项目,Google Chrome 浏览器正是基于它的。
Meta最新WWW2022《联邦计算导论》教程,附77页ppt
专知会员服务
59+阅读 · 2022年5月5日
Linux导论,Introduction to Linux,96页ppt
专知会员服务
76+阅读 · 2020年7月26日
100+篇《自监督学习(Self-Supervised Learning)》论文最新合集
专知会员服务
161+阅读 · 2020年3月18日
强化学习最新教程,17页pdf
专知会员服务
171+阅读 · 2019年10月11日
2019年机器学习框架回顾
专知会员服务
35+阅读 · 2019年10月11日
[综述]深度学习下的场景文本检测与识别
专知会员服务
77+阅读 · 2019年10月10日
【哈佛大学商学院课程Fall 2019】机器学习可解释性
专知会员服务
100+阅读 · 2019年10月9日
VCIP 2022 Call for Demos
CCF多媒体专委会
1+阅读 · 2022年6月6日
已删除
将门创投
11+阅读 · 2019年8月13日
Hierarchically Structured Meta-learning
CreateAMind
23+阅读 · 2019年5月22日
A Technical Overview of AI & ML in 2018 & Trends for 2019
待字闺中
16+阅读 · 2018年12月24日
国家自然科学基金
0+阅读 · 2016年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2011年12月31日
国家自然科学基金
1+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2009年12月31日
国家自然科学基金
0+阅读 · 2009年12月31日
Arxiv
13+阅读 · 2022年8月16日
Arxiv
19+阅读 · 2021年6月15日
A Survey of Deep Learning for Scientific Discovery
Arxiv
29+阅读 · 2020年3月26日
Arxiv
34+阅读 · 2019年11月7日
VIP会员
相关VIP内容
Meta最新WWW2022《联邦计算导论》教程,附77页ppt
专知会员服务
59+阅读 · 2022年5月5日
Linux导论,Introduction to Linux,96页ppt
专知会员服务
76+阅读 · 2020年7月26日
100+篇《自监督学习(Self-Supervised Learning)》论文最新合集
专知会员服务
161+阅读 · 2020年3月18日
强化学习最新教程,17页pdf
专知会员服务
171+阅读 · 2019年10月11日
2019年机器学习框架回顾
专知会员服务
35+阅读 · 2019年10月11日
[综述]深度学习下的场景文本检测与识别
专知会员服务
77+阅读 · 2019年10月10日
【哈佛大学商学院课程Fall 2019】机器学习可解释性
专知会员服务
100+阅读 · 2019年10月9日
相关资讯
VCIP 2022 Call for Demos
CCF多媒体专委会
1+阅读 · 2022年6月6日
已删除
将门创投
11+阅读 · 2019年8月13日
Hierarchically Structured Meta-learning
CreateAMind
23+阅读 · 2019年5月22日
A Technical Overview of AI & ML in 2018 & Trends for 2019
待字闺中
16+阅读 · 2018年12月24日
相关基金
国家自然科学基金
0+阅读 · 2016年12月31日
国家自然科学基金
0+阅读 · 2013年12月31日
国家自然科学基金
0+阅读 · 2012年12月31日
国家自然科学基金
0+阅读 · 2011年12月31日
国家自然科学基金
1+阅读 · 2011年12月31日
国家自然科学基金
0+阅读 · 2009年12月31日
国家自然科学基金
0+阅读 · 2009年12月31日
Top
微信扫码咨询专知VIP会员