ПАНДЕМИЯТА УВЕЛИЧИ НАГРАДИТЕ ЗА ЕТИЧНИТЕ ХАКЕРИ

Докладите за уязвимости са се увеличили през последните 12 месеца на поне една платформа за сигурност с краудсорсинг, като отчетите за критични проблеми отчитат 65% скок. Данните идват от платформата Bugcrowd и също така отразяват ръста на изплащанията на награди, тъй като етичните хакери преследват по-критични уязвимости, като свързват грешки и разработват код за експлойти за доказателства за концепциите.

Bugcrowd посочва, че компаниите, предлагащи потребителски услуги, както и тези  в медийната индустрия получават  доклади за критични проблеми повече от веднъж на ден. За организации от правителствения и автомобилния сектори високорисковите грешки се откриват веднъж на няколко дни, но там „залозите са доста по- високи“.

Повече грешки, повече награди

Тази година заявките за изпращане на доклади за  уязвимости чрез Bugcrowd отчетоха 50% увеличение, докато при докладите за Приоритет 1 (най-критичните) има ръст от 65%. Уеб приложенията остават сред основните предпочитания на хакерите, въпреки че диверсифицират целите, за да останат конкурентоспособни. „През последната година Bugcrowd видя, че докладите към всички цели се увеличават, въпреки че по-специално уязвимостите на API се удвояват, докато тези, открити в Android, се утрояват“ – твърдят от Bugcrowd Между януари и октомври 2020 г. организациите във финансовите услуги получиха повече доклади за бъгове, отколкото през цялата 2019 г. Изплащанията за уязвимости P1 в този сектор се удвоиха през второто тримесечие на тази година. Авторите на заплахите също засилиха своите атаки, карайки компаниите да увеличат изплащанията за все по- сериозни проблеми. Като цяло изплащанията за критични уязвимости (P1) нараснаха с 31% от първото до второто тримесечие. Същото се случи и с P2 грешки между второ и трето тримесечие.

Тенденциите

В горната част на списъка на най-честите уязвимости, докладвани през  Bugcrowd е управляваният от човека повреден  контрол на достъпа, премахващ скриптове между сайтове (XSS). Поглъщането на поддомейни също скочи с две позиции в списъка, от шеста на четвърта, като причината за скока е увеличеното използване на автоматизацията на хакерите за техните сесии за лов на грешки.

Една от тенденциите, която по презумпция фигурира в лова на грешки, е подходът „отвън“, който отваря обхвата на наградата за скриване или забравяне на активи (сенчести ИТ), които разширяват кибер риска на компанията. Bugcrowd наблюдава тази тенденция с компании, които имат зряла програма за киберсигурност, осъзнавайки, че повърхността на атаките им се променя толкова често, че води до пренебрегване на ИТ – активите. Компаниите, които отговарят на този профил, са добавили Attack Surface Management (ASM) към своето решение за защита от краудсорсинг, за да позволят на ловците на грешки да провеждат разузнавателна дейност и да разкриват неизвестни активи, които притежават, които могат да представляват риск.

Въпреки че уязвимостите от нулев ден привличат почти цялото внимание, тъй като обикновено са свързани с атаки от напреднала постоянна заплаха (APT – обикновено подкрепяни от правителства хакери), през повечето време тези противници разчитат на известни експлойти. „Данните от Bugcrowd показват, че  ловците са разкривали тези уязвимости, когато са били разположени от APT, действайки като важна линия на защита, която в крайна сметка се припокрива с националната сигурност“ Един пример в доклада се отнася до уязвимости за дистанционно изпълнение на код в BIG-IP решенията на F5 (CVE-2020-5902). Bugcrowd казва, че ловците на глави са докладвали за проблема на платформата, преди да бъде обявен. Bugcrowd отбелязва, че промените, записани тази година, са в унисон с предизвикателствата на отдалечената работа, наложени от пандемията. Прекарвайки повече време у дома, ловците на грешки успяха да бъдат по-активни и да откриват грешки с по-голяма степен на сериозност, както и да представят отчети с по-добро качество.

Източник: По материали от Интернет

Подобни публикации

8 декември 2022

Устойчиви ли са криптовалутите?

Инвестирането в криптовалути през годините донесе богатство на мноз...
6 декември 2022

Най-големият пазар на малуер за мобилни устройс...

Изследователи в областта на киберсигурността хвърлиха светлина върх...
5 декември 2022

Социалните медии повишават насилието в училище

Нов доклад, публикуван от британския мозъчен тръст Crest Advisory, ...
4 декември 2022

Google с нова актуализация на Chrome, поправя ...

  В петък гигантът в областта на търсенето в интернет Google п...
1 декември 2022

Google с обвинения към испански шпионски софтуер

Смята се, че базираният в Барселона доставчик на софтуер за наблюде...
1 декември 2022

За дигиталните активи на починалите

Напоследък много наши потребители ни питат какво се случва с пароли...
30 ноември 2022

Уязвимост на Hyundai позволява хакване на ключ...

Изследователи са открили недостатъци в редица приложения, свързани ...
Бъдете социални
Още по темата
08/12/2022

Устойчиви ли са криптовалут...

Инвестирането в криптовалути през годините донесе...
06/12/2022

Най-големият пазар на малуе...

Изследователи в областта на киберсигурността хвърлиха...
30/11/2022

Уязвимост на Hyundai позво...

Изследователи са открили недостатъци в редица...
Последно добавени
08/12/2022

Устойчиви ли са криптовалут...

Инвестирането в криптовалути през годините донесе...
06/12/2022

Най-големият пазар на малуе...

Изследователи в областта на киберсигурността хвърлиха...
05/12/2022

Социалните медии повишават ...

Нов доклад, публикуван от британския мозъчен...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!