La seguridad colaborativa ha aumentado significativamente en el último año. En el sector público se reportaron un 151 por ciento más de vulnerabilidades que el año anterior. En el comercio minorista, las solicitudes aumentaron un 34 por ciento.
Bugcrowd ha publicado su informe anual "Dentro de la plataforma: Informe de tendencias de vulnerabilidad de Bugcrowd". El informe detalla los tipos de vulnerabilidades que, según los piratas informáticos globales, están aumentando actualmente. También documenta el aumento continuo en el uso de programas públicos de colaboración colaborativa debido a la creciente conciencia y aceptación de las estrategias de seguridad de colaboración colaborativa.
La seguridad colaborativa ha crecido rápidamente en el sector público
El sector público (gobierno) experimentó el crecimiento más rápido de la seguridad colaborativa en 2023 en comparación con 2022, con un aumento del 151 % en las presentaciones de vulnerabilidades y un aumento del 58 % en las recompensas de Prioridad 1 (o P1) por el descubrimiento de vulnerabilidades críticas. Otras industrias con fuertes aumentos en las presentaciones fueron el comercio minorista (+34%), los servicios empresariales (+20%) y el software (+12%).
El año pasado, la comunidad de hackers experimentó un aumento del 2022 % en los envíos web creados en la plataforma Bugcrowd, un aumento del 30 % en los envíos de API, un aumento del 18 % en los envíos de Android y un aumento del 21 % en comparación con 17: aumento porcentual en los envíos de iOS. .
"Este informe proporciona contexto, información y oportunidades importantes para los líderes de seguridad que buscan nueva información para informar sus perfiles de riesgo", dijo Nick McKenzie, director de información y seguridad de Bugcrowd. "De cara al futuro, podemos utilizar los conocimientos de este informe junto con otros conocimientos clave para predecir lo que vendrá después".
El crowdsourcing puede apoyar a las empresas más pequeñas
McKenzie predice que en 2024, los actores de amenazas utilizarán la IA para acelerar los ataques a las organizaciones, lo que significará más esfuerzo para los defensores, pero no necesariamente ataques más inteligentes. Con los ataques continuos en este espacio, cada vez es más importante que los líderes de seguridad obtengan información de alta calidad y revisen continuamente la seguridad de la cadena de suministro, el riesgo de terceros y los procesos de gestión de inventario.
El “factor de riesgo humano” también será más peligroso. Esto se basa en las acciones de personas internas maliciosas y empleados equivocados que son víctimas de ataques de ingeniería social o la elusión de controles internos (intencionalmente o no), así como operativamente para abordar la "brecha de talento cibernético" y ayudar a sus equipos de seguridad a "escalar". " ayudar. Sin duda, las empresas emplearán de forma más amplia el crowdsourcing de inteligencia humana para adaptar continuamente vulnerabilidades únicas o no identificadas previamente porque los equipos más pequeños, menos diversos, con presupuesto o talento limitados no pueden permitírselo.
Recompensas financieras por encontrar vulnerabilidades
La plataforma Bugcrowd conecta a las empresas con piratas informáticos confiables para defender proactivamente sus activos contra amenazas avanzadas. Esto permite a las empresas aprovechar el ingenio colectivo de la comunidad de hackers para descubrir y mitigar mejor los riesgos en aplicaciones, sistemas e infraestructura.
Las soluciones colaborativas incluyen pruebas de penetración como servicio, recompensas de errores administradas y programas de descubrimiento de vulnerabilidades (VDP). No es de extrañar que el informe confirme que los programas más exitosos de la plataforma ofrecen las mayores recompensas para los piratas informáticos: normalmente 10.000 dólares o más por encontrar una vulnerabilidad P1. Las recompensas más altas por informar sobre vulnerabilidades P1 se pagan en los sectores de servicios financieros y gobierno.
Los programas de seguridad colaborativos encuentran 10 veces más vulnerabilidades críticas
Durante el año pasado, las empresas también han favorecido cada vez más los programas públicos de crowdsourcing sobre los privados, mientras que los programas de enfoque abierto recibieron diez veces más vulnerabilidades P1 que aquellos con alcance limitado. Un alcance es el conjunto definido de objetivos enumerados por una organización como valores a probar. Un programa de recompensas por errores de alcance abierto no limita lo que los piratas informáticos pueden o no probar a la luz de los valores de la organización.
El informe también examina cómo los diferentes roles de los piratas informáticos contribuyen a la seguridad colaborativa y cómo las plataformas de seguridad colaborativas pueden proporcionar potentes sistemas de alerta para descubrir vulnerabilidades. Varias secciones ayudan a capturar el espíritu de la comunidad de crowdsourcing, incluidas secciones sobre el panorama cambiante de las áreas de recompensa, los cinco tipos de vulnerabilidad más comúnmente reportados y estudios de casos de clientes que destacan a Rapyd y ClickHouse.
Más en Bugcrowd.com
Acerca de Bugcrowd
Bugcrowd, la única plataforma de ciberseguridad de múltiples soluciones de colaboración colectiva, combina la coincidencia de multitudes impulsada por datos y ML con décadas de experiencia en aplicaciones para enfocar la creatividad humana correcta en el problema correcto en el momento correcto. Con la confianza de empresas de todo el mundo, Bugcrowd Security Knowledge Platform™ hace posible encontrar vulnerabilidades ocultas en toda su superficie de ataque antes de que puedan ser explotadas, aprovechando el conocimiento de piratas informáticos éticos de clase mundial. Bugcrowd tiene su sede en San Francisco y cuenta con el respaldo de Blackbird Ventures, Costanoa Ventures, Industry Ventures, Paladin Capital Group, Rally Ventures, Salesforce Ventures y Triangle Peak Partners.
Artículos relacionados con el tema