Докладите за уязвимости са се увеличили през последните 12 месеца на поне една платформа за сигурност с краудсорсинг, като отчетите за критични проблеми отчитат 65% скок. Данните идват от платформата Bugcrowd и също така отразяват ръста на изплащанията на награди, тъй като етичните хакери преследват по-критични уязвимости, като свързват грешки и разработват код за експлойти за доказателства за концепциите.

Bugcrowd посочва, че компаниите, предлагащи потребителски услуги, както и тези  в медийната индустрия получават  доклади за критични проблеми повече от веднъж на ден. За организации от правителствения и автомобилния сектори високорисковите грешки се откриват веднъж на няколко дни, но там „залозите са доста по- високи“.

Повече грешки, повече награди

Тази година заявките за изпращане на доклади за  уязвимости чрез Bugcrowd отчетоха 50% увеличение, докато при докладите за Приоритет 1 (най-критичните) има ръст от 65%. Уеб приложенията остават сред основните предпочитания на хакерите, въпреки че диверсифицират целите, за да останат конкурентоспособни. „През последната година Bugcrowd видя, че докладите към всички цели се увеличават, въпреки че по-специално уязвимостите на API се удвояват, докато тези, открити в Android, се утрояват“ – твърдят от Bugcrowd Между януари и октомври 2020 г. организациите във финансовите услуги получиха повече доклади за бъгове, отколкото през цялата 2019 г. Изплащанията за уязвимости P1 в този сектор се удвоиха през второто тримесечие на тази година. Авторите на заплахите също засилиха своите атаки, карайки компаниите да увеличат изплащанията за все по- сериозни проблеми. Като цяло изплащанията за критични уязвимости (P1) нараснаха с 31% от първото до второто тримесечие. Същото се случи и с P2 грешки между второ и трето тримесечие.

Тенденциите

В горната част на списъка на най-честите уязвимости, докладвани през  Bugcrowd е управляваният от човека повреден  контрол на достъпа, премахващ скриптове между сайтове (XSS). Поглъщането на поддомейни също скочи с две позиции в списъка, от шеста на четвърта, като причината за скока е увеличеното използване на автоматизацията на хакерите за техните сесии за лов на грешки.

Една от тенденциите, която по презумпция фигурира в лова на грешки, е подходът „отвън“, който отваря обхвата на наградата за скриване или забравяне на активи (сенчести ИТ), които разширяват кибер риска на компанията. Bugcrowd наблюдава тази тенденция с компании, които имат зряла програма за киберсигурност, осъзнавайки, че повърхността на атаките им се променя толкова често, че води до пренебрегване на ИТ – активите. Компаниите, които отговарят на този профил, са добавили Attack Surface Management (ASM) към своето решение за защита от краудсорсинг, за да позволят на ловците на грешки да провеждат разузнавателна дейност и да разкриват неизвестни активи, които притежават, които могат да представляват риск.

Въпреки че уязвимостите от нулев ден привличат почти цялото внимание, тъй като обикновено са свързани с атаки от напреднала постоянна заплаха (APT – обикновено подкрепяни от правителства хакери), през повечето време тези противници разчитат на известни експлойти. „Данните от Bugcrowd показват, че  ловците са разкривали тези уязвимости, когато са били разположени от APT, действайки като важна линия на защита, която в крайна сметка се припокрива с националната сигурност“ Един пример в доклада се отнася до уязвимости за дистанционно изпълнение на код в BIG-IP решенията на F5 (CVE-2020-5902). Bugcrowd казва, че ловците на глави са докладвали за проблема на платформата, преди да бъде обявен. Bugcrowd отбелязва, че промените, записани тази година, са в унисон с предизвикателствата на отдалечената работа, наложени от пандемията. Прекарвайки повече време у дома, ловците на грешки успяха да бъдат по-активни и да откриват грешки с по-голяма степен на сериозност, както и да представят отчети с по-добро качество.

Източник: По материали от Интернет
Share on facebook
Share on twitter
Share on linkedin
Share on google
Share on email

Подобни публикации

15 януари 2022

НАД 1.7 МЛН СЕКРЕТНИ ДОКУМЕНТА НА ПОЛСКАТА АРМИ...

Над 1,7 милиона класифицирани документа, свързани с всички аспекти ...
14 януари 2022

КАКВО ПРЕСТАВЛЯВАТ КВАНТОВИТЕ ИЗЧИСЛЕНИЯ

Като част от плановете си след Brexit, премиерът Борис Джонсън обяв...
8 януари 2022

КАК ДА СЕ ПРЕДПАЗИТЕ ОТ ХАКВАНЕ ПРЕЗ НОВАТА ГОДИНА

Целите, които си поставяте за  за Новата година са високи! Една от ...
7 януари 2022

ХАКЕРИ ИЗПОЛЗВАТ ВИДЕОПЛЕЙЪР, ЗА ДА КРАДАТ КРЕД...

Хакери използваха облачна видео хостинг услуга, за да извършат атак...
24 декември 2021

7 КОЛЕДНИ ИЗМАМИ

Коледа би трябвало да е време на радост и доброта, но за съжаление ...
23 декември 2021

РАЗРАБОТЧИЦИТЕ НА ВАКСИНИ СРЕЩУ COVID СА ПОДЛОЖ...

Вече повече от година, производителите на продукти за киберсигурнос...
17 декември 2021

EVIL TWIN ATTACK - КАКВО ПРЕДСТАВЛЯВА

Evil Twin Attack  е кибератака за измама, която работи, като подмам...
13 декември 2021

БРИТАНСКИ УЧИТЕЛИ ПОДЛОЖЕНИ НА ТОРМОЗ В TikTok ...

Учителите в Обединеното кралство съобщиха за тревожна нова тенденци...

Мнения и коментари

(0.0)
0.0/5
{{ reviewsTotal }} Review
{{ reviewsTotal }} Reviews
{{ options.labels.newReviewButton }}
{{ userData.canReview.message }}
Бъдете социални
Share on facebook
Share on twitter
Share on linkedin
Share on google
Share on email
Още по темата
04/12/2021

КАКВО ПРЕДСТАВЛЯВА КРИПТОГЕ...

Индустрията на онлайн хазарта прави около...
01/12/2021

КОЙ ЩЕ СПЕЧЕЛИ БИТКАТА ЗА М...

Facebook, отскоро ребрандиран като Meta, воден...
24/11/2021

EXCHANGE СЪРВЪРИТЕ ОТНОВО П...

След приключването на изданията на конференциите...
Последно добавени
15/01/2022

НАД 1.7 МЛН СЕКРЕТНИ ДОКУМЕ...

Над 1,7 милиона класифицирани документа, свързани...
14/01/2022

КАКВО ПРЕСТАВЛЯВАТ КВАНТОВИ...

Като част от плановете си след...
08/01/2022

КАК ДА СЕ ПРЕДПАЗИТЕ ОТ ХАК...

Целите, които си поставяте за  за...
Ключови думи