安全管理人员应该把钱花在获取和构建漏洞发现工具上，而不是大量扔钱养闲人或购买无穷无尽的零日漏洞。

前微软安全研究员、漏洞报告奖励平台Hacker One首席策略官凯特·穆苏里表示，新的研究表明安全防护者需要在工具上赶超那些领赏金的白帽黑客，因为他们永远不会有足够的预算用于从白帽子灰帽子黑客市场上购买重要的零日漏洞。

即使是政府这个漏洞大买家，也做不到一直买一直买一直买……

“对防御者来说，想要抽干零日漏洞的攻击储备，激励研发支持漏洞发现的工具是一个更有效率的方式。”在RSA的一次演讲预演中穆苏里如此说道。

凯特·穆苏里

“激励更多的眼睛去寻找安全漏洞能帮助抽干攻击储备。尤其是在不怎么成熟的软件上效果更加明显。但是，如果一个组织把这事儿摆在明面上做，并且专注于防御，为漏洞发现提供6位数的奖励，且不区分奖励是针对成熟软件还是非成熟软件，那这事儿……可能就会产生相反的刺激效果了，尤其是对不怎么成熟的软件而言。”

“想要在防御上占据上风的关键，不在于找到并修复尽可能多的漏洞，而是在找出相同漏洞上面与攻击方研究人员一较高下并修复这些漏洞。”

网络漏洞发现关联模型

关于她的方法，一个“极妙”的例子是谷歌的Project Zero计划。这个计划，简而言之，就是个互联网漏洞闪电战计划。

研究发现，购买和资金支持自动漏洞发现和模糊测试工具的研发，是比在懒惰的安全研究员身上投钱，或将大笔金钱花费在坐等零日漏洞出现再购买要好的方式。

有鉴于此，Hacker One 互联网漏洞报告奖励平台将会扩展延伸，研发精妙又有用的自动漏洞发现工具帮助防御者赶超资深漏洞猎手的人也将受到奖励。（https://hackerone.com/internet-bug-bounty）

将太多金钱投入到漏洞奖励上会抽干安全防御人才库，因为黑客们更倾向于一年花上个两周时间在游泳池边悠闲挖漏洞，而不是苦逼地蹲在逼仄的办公室里憋屈40多个星期上班。

在穆苏里及其同事的反乌托邦式预测下，一旦奖励预算入不敷出，犯罪和攻击市场将迅速抢购最贵的漏洞。

她和麻省理工学院和哈福大学的迈克尔·西格尔博士、 詹姆士·霍顿博士及瑞恩·埃利斯博士一起开发了“世界上第一个”系统动态模型。该模型将于下周的RSA大会上展示。

此研发团队主张，防御者需要更好的工具来发现零日漏洞，让他们的漏洞奖励基金能够应付在产品推出后立即开始的“高风险”漏洞竞赛。

一言以蔽之，投资安全研发生命周期比单纯的漏洞奖励来得好。

漏洞报告奖励耗干预算，开发检测工具才是王道！”