Докладите за уязвимости са се увеличили през последните 12 месеца на поне една платформа за сигурност с краудсорсинг, като отчетите за критични проблеми отчитат 65% скок. Данните идват от платформата Bugcrowd и също така отразяват ръста на изплащанията на награди, тъй като етичните хакери преследват по-критични уязвимости, като свързват грешки и разработват код за експлойти за доказателства за концепциите.

Bugcrowd посочва, че компаниите, предлагащи потребителски услуги, както и тези  в медийната индустрия получават  доклади за критични проблеми повече от веднъж на ден. За организации от правителствения и автомобилния сектори високорисковите грешки се откриват веднъж на няколко дни, но там „залозите са доста по- високи“.

Повече грешки, повече награди

Тази година заявките за изпращане на доклади за  уязвимости чрез Bugcrowd отчетоха 50% увеличение, докато при докладите за Приоритет 1 (най-критичните) има ръст от 65%. Уеб приложенията остават сред основните предпочитания на хакерите, въпреки че диверсифицират целите, за да останат конкурентоспособни. „През последната година Bugcrowd видя, че докладите към всички цели се увеличават, въпреки че по-специално уязвимостите на API се удвояват, докато тези, открити в Android, се утрояват“ – твърдят от Bugcrowd Между януари и октомври 2020 г. организациите във финансовите услуги получиха повече доклади за бъгове, отколкото през цялата 2019 г. Изплащанията за уязвимости P1 в този сектор се удвоиха през второто тримесечие на тази година. Авторите на заплахите също засилиха своите атаки, карайки компаниите да увеличат изплащанията за все по- сериозни проблеми. Като цяло изплащанията за критични уязвимости (P1) нараснаха с 31% от първото до второто тримесечие. Същото се случи и с P2 грешки между второ и трето тримесечие.

Тенденциите

В горната част на списъка на най-честите уязвимости, докладвани през  Bugcrowd е управляваният от човека повреден  контрол на достъпа, премахващ скриптове между сайтове (XSS). Поглъщането на поддомейни също скочи с две позиции в списъка, от шеста на четвърта, като причината за скока е увеличеното използване на автоматизацията на хакерите за техните сесии за лов на грешки.

Една от тенденциите, която по презумпция фигурира в лова на грешки, е подходът „отвън“, който отваря обхвата на наградата за скриване или забравяне на активи (сенчести ИТ), които разширяват кибер риска на компанията. Bugcrowd наблюдава тази тенденция с компании, които имат зряла програма за киберсигурност, осъзнавайки, че повърхността на атаките им се променя толкова често, че води до пренебрегване на ИТ – активите. Компаниите, които отговарят на този профил, са добавили Attack Surface Management (ASM) към своето решение за защита от краудсорсинг, за да позволят на ловците на грешки да провеждат разузнавателна дейност и да разкриват неизвестни активи, които притежават, които могат да представляват риск.

Въпреки че уязвимостите от нулев ден привличат почти цялото внимание, тъй като обикновено са свързани с атаки от напреднала постоянна заплаха (APT – обикновено подкрепяни от правителства хакери), през повечето време тези противници разчитат на известни експлойти. „Данните от Bugcrowd показват, че  ловците са разкривали тези уязвимости, когато са били разположени от APT, действайки като важна линия на защита, която в крайна сметка се припокрива с националната сигурност“ Един пример в доклада се отнася до уязвимости за дистанционно изпълнение на код в BIG-IP решенията на F5 (CVE-2020-5902). Bugcrowd казва, че ловците на глави са докладвали за проблема на платформата, преди да бъде обявен. Bugcrowd отбелязва, че промените, записани тази година, са в унисон с предизвикателствата на отдалечената работа, наложени от пандемията. Прекарвайки повече време у дома, ловците на грешки успяха да бъдат по-активни и да откриват грешки с по-голяма степен на сериозност, както и да представят отчети с по-добро качество.

Източник: По материали от Интернет

Подобни публикации

Хакери продават личните данни на над милиард ки...

Съобщава се, че хакери са откраднали данните на около един милиард ...
4 юли 2022

Хакнаха акаунти на британската армия

Оперативната сигурност (opsec) на британската армия беше поставена ...
3 юли 2022

Оптимизация чрез профилактика

Не всички ИТ задачи отнемат години за изпълнение. Ето девет кратки,...
2 юли 2022

Глобиха Clearview AI и в Обединеното кралство

На базираната в САЩ компания е наредено да изтрие всички лични данн...

Най-добрите безплатни инструменти за премахване...

Пейзажът на заплахите за киберсигурността се развива и разширява вс...

Какво е фарминг?

Pharming е измама, която киберпрестъпниците използват, за да инстал...
Бъдете социални
Още по темата
02/07/2022

Глобиха Clearview AI и в Об...

На базираната в САЩ компания е...
29/06/2022

Amazon коригира сериозна уя...

Amazon потвърди и поправи уязвимост в...
23/06/2022

Бихте ли гледали телевизия...

Безопасното шофиране на автомобил е особено...
Последно добавени
05/07/2022

Хакери продават личните дан...

Съобщава се, че хакери са откраднали...
04/07/2022

Хакнаха акаунти на британск...

Оперативната сигурност (opsec) на британската армия...
03/07/2022

Оптимизация чрез профилактика

Не всички ИТ задачи отнемат години...
Ключови думи