ПАНДЕМИЯТА УВЕЛИЧИ НАГРАДИТЕ ЗА ЕТИЧНИТЕ ХАКЕРИ

Докладите за уязвимости са се увеличили през последните 12 месеца на поне една платформа за сигурност с краудсорсинг, като отчетите за критични проблеми отчитат 65% скок. Данните идват от платформата Bugcrowd и също така отразяват ръста на изплащанията на награди, тъй като етичните хакери преследват по-критични уязвимости, като свързват грешки и разработват код за експлойти за доказателства за концепциите.

Bugcrowd посочва, че компаниите, предлагащи потребителски услуги, както и тези  в медийната индустрия получават  доклади за критични проблеми повече от веднъж на ден. За организации от правителствения и автомобилния сектори високорисковите грешки се откриват веднъж на няколко дни, но там „залозите са доста по- високи“.

Повече грешки, повече награди

Тази година заявките за изпращане на доклади за  уязвимости чрез Bugcrowd отчетоха 50% увеличение, докато при докладите за Приоритет 1 (най-критичните) има ръст от 65%. Уеб приложенията остават сред основните предпочитания на хакерите, въпреки че диверсифицират целите, за да останат конкурентоспособни. „През последната година Bugcrowd видя, че докладите към всички цели се увеличават, въпреки че по-специално уязвимостите на API се удвояват, докато тези, открити в Android, се утрояват“ – твърдят от Bugcrowd Между януари и октомври 2020 г. организациите във финансовите услуги получиха повече доклади за бъгове, отколкото през цялата 2019 г. Изплащанията за уязвимости P1 в този сектор се удвоиха през второто тримесечие на тази година. Авторите на заплахите също засилиха своите атаки, карайки компаниите да увеличат изплащанията за все по- сериозни проблеми. Като цяло изплащанията за критични уязвимости (P1) нараснаха с 31% от първото до второто тримесечие. Същото се случи и с P2 грешки между второ и трето тримесечие.

Тенденциите

В горната част на списъка на най-честите уязвимости, докладвани през  Bugcrowd е управляваният от човека повреден  контрол на достъпа, премахващ скриптове между сайтове (XSS). Поглъщането на поддомейни също скочи с две позиции в списъка, от шеста на четвърта, като причината за скока е увеличеното използване на автоматизацията на хакерите за техните сесии за лов на грешки.

Една от тенденциите, която по презумпция фигурира в лова на грешки, е подходът „отвън“, който отваря обхвата на наградата за скриване или забравяне на активи (сенчести ИТ), които разширяват кибер риска на компанията. Bugcrowd наблюдава тази тенденция с компании, които имат зряла програма за киберсигурност, осъзнавайки, че повърхността на атаките им се променя толкова често, че води до пренебрегване на ИТ – активите. Компаниите, които отговарят на този профил, са добавили Attack Surface Management (ASM) към своето решение за защита от краудсорсинг, за да позволят на ловците на грешки да провеждат разузнавателна дейност и да разкриват неизвестни активи, които притежават, които могат да представляват риск.

Въпреки че уязвимостите от нулев ден привличат почти цялото внимание, тъй като обикновено са свързани с атаки от напреднала постоянна заплаха (APT – обикновено подкрепяни от правителства хакери), през повечето време тези противници разчитат на известни експлойти. „Данните от Bugcrowd показват, че  ловците са разкривали тези уязвимости, когато са били разположени от APT, действайки като важна линия на защита, която в крайна сметка се припокрива с националната сигурност“ Един пример в доклада се отнася до уязвимости за дистанционно изпълнение на код в BIG-IP решенията на F5 (CVE-2020-5902). Bugcrowd казва, че ловците на глави са докладвали за проблема на платформата, преди да бъде обявен. Bugcrowd отбелязва, че промените, записани тази година, са в унисон с предизвикателствата на отдалечената работа, наложени от пандемията. Прекарвайки повече време у дома, ловците на грешки успяха да бъдат по-активни и да откриват грешки с по-голяма степен на сериозност, както и да представят отчети с по-добро качество.

Източник: По материали от Интернет

Подобни публикации

26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
26 септември 2023

Разликите между локалната и облачната киберсигу...

Разликата между управлението на киберсигурността в локални и облачн...
26 септември 2023

Нов вариант на BBTok е насочен към над 40 банк...

Активна кампания за зловреден софтуер, насочена към Латинска Америк...
25 септември 2023

Правилата за API на TikTok затрудняват анализа ...

Според учени новите условия за достъп на изследователите до API на ...
Бъдете социални
Още по темата
26/09/2023

WatchGuard с награда за отл...

Имаме удоволствието да споделим, че WatchGuard...
26/09/2023

Разликите между локалната и...

Разликата между управлението на киберсигурността в...
25/09/2023

Хакери от Gelsemium са забе...

При атаките, насочени към правителство в...
Последно добавени
26/09/2023

WatchGuard получи най-висок...

WatchGuard е обявена за лидер в...
26/09/2023

WatchGuard с награда за отл...

Имаме удоволствието да споделим, че WatchGuard...
26/09/2023

Рансъмуерът Akira мутира и ...

Откакто се появи като заплаха през...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!