Докладите за уязвимости са се увеличили през последните 12 месеца на поне една платформа за сигурност с краудсорсинг, като отчетите за критични проблеми отчитат 65% скок. Данните идват от платформата Bugcrowd и също така отразяват ръста на изплащанията на награди, тъй като етичните хакери преследват по-критични уязвимости, като свързват грешки и разработват код за експлойти за доказателства за концепциите.

Bugcrowd посочва, че компаниите, предлагащи потребителски услуги, както и тези  в медийната индустрия получават  доклади за критични проблеми повече от веднъж на ден. За организации от правителствения и автомобилния сектори високорисковите грешки се откриват веднъж на няколко дни, но там „залозите са доста по- високи“.

Повече грешки, повече награди

Тази година заявките за изпращане на доклади за  уязвимости чрез Bugcrowd отчетоха 50% увеличение, докато при докладите за Приоритет 1 (най-критичните) има ръст от 65%. Уеб приложенията остават сред основните предпочитания на хакерите, въпреки че диверсифицират целите, за да останат конкурентоспособни. „През последната година Bugcrowd видя, че докладите към всички цели се увеличават, въпреки че по-специално уязвимостите на API се удвояват, докато тези, открити в Android, се утрояват“ – твърдят от Bugcrowd Между януари и октомври 2020 г. организациите във финансовите услуги получиха повече доклади за бъгове, отколкото през цялата 2019 г. Изплащанията за уязвимости P1 в този сектор се удвоиха през второто тримесечие на тази година. Авторите на заплахите също засилиха своите атаки, карайки компаниите да увеличат изплащанията за все по- сериозни проблеми. Като цяло изплащанията за критични уязвимости (P1) нараснаха с 31% от първото до второто тримесечие. Същото се случи и с P2 грешки между второ и трето тримесечие.

Тенденциите

В горната част на списъка на най-честите уязвимости, докладвани през  Bugcrowd е управляваният от човека повреден  контрол на достъпа, премахващ скриптове между сайтове (XSS). Поглъщането на поддомейни също скочи с две позиции в списъка, от шеста на четвърта, като причината за скока е увеличеното използване на автоматизацията на хакерите за техните сесии за лов на грешки.

Една от тенденциите, която по презумпция фигурира в лова на грешки, е подходът „отвън“, който отваря обхвата на наградата за скриване или забравяне на активи (сенчести ИТ), които разширяват кибер риска на компанията. Bugcrowd наблюдава тази тенденция с компании, които имат зряла програма за киберсигурност, осъзнавайки, че повърхността на атаките им се променя толкова често, че води до пренебрегване на ИТ – активите. Компаниите, които отговарят на този профил, са добавили Attack Surface Management (ASM) към своето решение за защита от краудсорсинг, за да позволят на ловците на грешки да провеждат разузнавателна дейност и да разкриват неизвестни активи, които притежават, които могат да представляват риск.

Въпреки че уязвимостите от нулев ден привличат почти цялото внимание, тъй като обикновено са свързани с атаки от напреднала постоянна заплаха (APT – обикновено подкрепяни от правителства хакери), през повечето време тези противници разчитат на известни експлойти. „Данните от Bugcrowd показват, че  ловците са разкривали тези уязвимости, когато са били разположени от APT, действайки като важна линия на защита, която в крайна сметка се припокрива с националната сигурност“ Един пример в доклада се отнася до уязвимости за дистанционно изпълнение на код в BIG-IP решенията на F5 (CVE-2020-5902). Bugcrowd казва, че ловците на глави са докладвали за проблема на платформата, преди да бъде обявен. Bugcrowd отбелязва, че промените, записани тази година, са в унисон с предизвикателствата на отдалечената работа, наложени от пандемията. Прекарвайки повече време у дома, ловците на грешки успяха да бъдат по-активни и да откриват грешки с по-голяма степен на сериозност, както и да представят отчети с по-добро качество.