Crowdsourced Security hat im letzten Jahr stark zugenommen. Im öffentlichen Bereich wurden 151 Prozent mehr Schwachstellen gemeldet als im Vorjahr. Im Einzelhandel stiegen die Einreichungen um 34 Prozent.
Bugcrowd hat seinen jährlichen “Inside the Platform: Bugcrowd’s Vulnerability Trends Report“ veröffentlicht. Der Bericht beschreibt die Arten von Schwachstellen, die laut globalen Hackern derzeit auf dem Vormarsch sind. Er dokumentiert zudem die stetige zunehmende Nutzung öffentlicher Crowdsourced-Programme aufgrund des wachsenden Bewusstseins und der Akzeptanz für Crowdsourced-Sicherheitsstrategien.
Crowdsourced Security ist im öffentlichen Bereich rasant gewachsen
Der öffentliche Sektor (Government) verzeichnete im Jahr 2023 im Vergleich zu 2022 das schnellste Wachstum für Crowdsourced Security, mit einem Anstieg von 151 % bei der Einreichung von Schwachstellen und einem Anstieg von 58 % bei den Priority 1 (oder P1) Belohnungen für das Auffinden kritischer Schwachstellen. Weitere Branchen mit starkem Anstieg der Einreichungen waren der Einzelhandel (+34 %), Unternehmensdienstleistungen (+20 %) und Computersoftware (+12 %).
Im vergangenen Jahr verzeichnete die Hacker-Community im Vergleich zu 2022 einen 30-prozentigen Anstieg der auf der Bugcrowd-Plattform erstellten Web-Einsendungen, einen 18-prozentigen Anstieg der API-Einsendungen, einen 21-prozentigen Anstieg der Android-Einsendungen sowie einen 17-prozentigen Anstieg der iOS-Einsendungen.
„Dieser Report bietet wichtigen Kontext, Einblicke und Möglichkeiten für Sicherheitsverantwortliche, die auf der Suche nach neuen Informationen sind, um ihre Risikoprofile zu untermauern”, sagt Nick McKenzie, Chief Information and Security Officer von Bugcrowd. „Mit Blick auf die Zukunft können wir die Erkenntnisse aus diesem Bericht in Verbindung mit anderen wichtigen Erkenntnissen nutzen, um vorherzusagen, was als Nächstes kommt.”
Crowdsourcing kann kleinere Unternehmen unterstützen
McKenzie prognostiziert, dass Bedrohungsakteure im Jahr 2024 KI einsetzen werden, um Angriffe auf Unternehmen zu beschleunigen – was mehr Aufwand für Verteidiger bedeutet, aber nicht unbedingt intelligentere Angriffe. Angesichts der anhaltenden Angriffe in diesem Bereich wird es für Sicherheitsverantwortliche immer wichtiger, qualitativ hochwertige Einblicke zu erhalten und die Sicherheit der Lieferkette, das Risiko von Drittanbietern und die Prozesse der Bestandsverwaltung kontinuierlich zu überprüfen.
Der “menschliche Risikofaktor” wird ebenfalls gefährlicher werden. Dies basiert auf von Handlungen böswilliger Insider und fehlgeleiteter Mitarbeiter, die Social-Engineering-Angriffen oder der Umgehung interner Kontrollen (absichtlich oder unabsichtlich) zum Opfer fallen sowie in operativer Hinsicht, um der “Cyber-Talentlücke” entgegenzuwirken und ihren Sicherheitsteams bei der “Skalierung” zu helfen. Unternehmen werden mit Sicherheit und auf breiterer Basis das Crowdsourcing menschlicher Intelligenz einsetzen, um kontinuierlich einzigartige oder zuvor nicht identifizierte Schwachstellen adaptieren, da kleinere, weniger vielfältige, budget- oder talentbeschränkte Teams dies nicht leisten können.
Finanzielle Belohnungen für das Auffinden von Schwachstellen
Die Bugcrowd-Plattform bringt Unternehmen mit vertrauenswürdigen Hackern zusammen, um ihre Werte proaktiv gegen hochentwickelte Bedrohungen zu verteidigen. Damit können Unternehmen den kollektiven Einfallsreichtum der Hacker-Community nutzen, um Risiken in Anwendungen, Systemen und Infrastrukturen besser aufzudecken und zu minimieren.
Crowdsourced-Lösungen umfassen Penetrationstests als Service, verwaltete Bug Bounties und Programme zur Aufdeckung von Schwachstellen (VDPs). Es überrascht nicht, dass der Bericht bestätigt, dass die erfolgreichsten Programme auf der Plattform die höchsten Belohnungen für Hacker bieten – in der Regel 10.000 US-Dollar oder mehr für das Auffinden einer P1-Schwachstelle. Die höchsten Belohnungen für die Meldung von P1-Schwachstellen werden in den Bereichen Finanzdienstleistungen und Behörden gezahlt.
Crowdsourced Security-Programme finden 10x mehr kritische Schwachstellen
Im vergangenen Jahr bevorzugten Unternehmen außerdem zunehmend öffentliche Crowdsourcing-Programme gegenüber privaten Programmen, während Programme mit offenem Ansatz zehnmal mehr P1-Schwachstellen erhielten als solche mit begrenztem Geltungsbereich. Ein Geltungsbereich ist die definierte Menge von Zielen, die von einer Organisation als zu testende Werte aufgeführt werden. Ein Bug Bounty-Programm mit offenem Geltungsbereich schränkt nicht ein, was Hacker im Hinblick auf die Werte der Organisation testen können oder nicht.
Der Bericht untersucht auch, wie verschiedene Hacker-Rollen zur Crowdsourced Security beitragen und wie Crowdsourced Security-Plattformen leistungsfähige Warnsysteme zur Aufdeckung von Schwachstellen bieten können. Mehrere Abschnitte tragen dazu bei, den Geist der Crowdsourcing-Community einzufangen, darunter Sektionen über die sich verändernde Landschaft für Belohnungsbereiche, die 5 am häufigsten gemeldeten Schwachstellenarten sowie Fallstudien von Kunden, die Rapyd und ClickHouse in den Mittelpunkt stellen.
Mehr bei Bugcrowd.com
Über Bugcrowd
Bugcrowd, die einzige Multi-Solution-Crowdsourced-Cybersecurity-Plattform, kombiniert daten- und ML-gesteuertes Crowd-Matching mit jahrzehntelanger Anwendungserfahrung, um die richtige menschliche Kreativität zum richtigen Zeitpunkt auf das richtige Problem zu konzentrieren. Die Bugcrowd Security Knowledge Platform™, der Unternehmen auf der ganzen Welt vertrauen, ermöglicht es, verborgene Schwachstellen in ihrer gesamten Angriffsfläche zu finden, bevor sie ausgenutzt werden können, indem sie das Wissen von ethischen Hackern von Weltrang nutzen. Bugcrowd hat seinen Sitz in San Francisco und wird von Blackbird Ventures, Costanoa Ventures, Industry Ventures, Paladin Capital Group, Rally Ventures, Salesforce Ventures und Triangle Peak Partners unterstützt.
Passende Artikel zum Thema