La sécurité participative a considérablement augmenté au cours de la dernière année. Dans le secteur public, 151 pour cent de vulnérabilités supplémentaires ont été signalées par rapport à l’année précédente. Dans le commerce de détail, les dépôts ont augmenté de 34 pour cent.
Bugcrowd a publié son rapport annuel « À l'intérieur de la plateforme : rapport sur les tendances en matière de vulnérabilité de Bugcrowd ». Le rapport détaille les types de vulnérabilités qui, selon les pirates informatiques mondiaux, sont actuellement en augmentation. Il documente également l’augmentation continue du recours aux programmes publics participatifs en raison de la sensibilisation et de l’acceptation croissantes des stratégies de sécurité participatives.
La sécurité participative s'est développée rapidement dans le secteur public
Le secteur public (gouvernement) a connu la croissance la plus rapide de la sécurité participative en 2023 par rapport à 2022, avec une augmentation de 151 % des soumissions de vulnérabilités et une augmentation de 58 % des récompenses de priorité 1 (ou P1) pour la découverte de vulnérabilités critiques. Parmi les autres secteurs où les dépôts ont fortement augmenté figurent le commerce de détail (+34 %), les services aux entreprises (+20 %) et les logiciels informatiques (+12 %).
L'année dernière, la communauté des hackers a constaté une augmentation de 2022 % des soumissions Web créées sur la plateforme Bugcrowd, une augmentation de 30 % des soumissions API, une augmentation de 18 % des soumissions Android et une augmentation de 21 % par rapport à 17 - pour cent d'augmentation des soumissions iOS. .
« Ce rapport fournit un contexte, des informations et des opportunités importants pour les responsables de la sécurité à la recherche de nouvelles informations pour éclairer leurs profils de risque », a déclaré Nick McKenzie, responsable de l'information et de la sécurité de Bugcrowd. « Pour l’avenir, nous pouvons utiliser les informations de ce rapport en conjonction avec d’autres informations clés pour prédire ce qui va suivre. »
Le crowdsourcing peut soutenir les petites entreprises
McKenzie prédit qu'en 2024, les auteurs de menaces utiliseront l'IA pour accélérer les attaques contre les organisations, ce qui signifie davantage d'efforts de la part des défenseurs, mais pas nécessairement des attaques plus intelligentes. Avec les attaques continues dans ce domaine, il devient de plus en plus important pour les responsables de la sécurité d'obtenir des informations de haute qualité et d'examiner en permanence la sécurité de la chaîne d'approvisionnement, les risques liés aux tiers et les processus de gestion des stocks.
Le « facteur de risque humain » deviendra également plus dangereux. Ceci est basé sur les actions d'initiés malveillants et d'employés malavisés qui sont victimes d'attaques d'ingénierie sociale ou de contournement des contrôles internes (intentionnellement ou non), ainsi que sur le plan opérationnel pour combler le « déficit de cyber-talents » et aider leurs équipes de sécurité à « évoluer ». " aider. Les entreprises auront certainement et plus largement recours au crowdsourcing de l’intelligence humaine pour adapter continuellement des vulnérabilités uniques ou jusqu’alors non identifiées, car des équipes plus petites, moins diversifiées, aux budgets ou aux talents limités ne peuvent pas se le permettre.
Récompenses financières pour la découverte de vulnérabilités
La plateforme Bugcrowd connecte les entreprises avec des pirates informatiques de confiance pour défendre de manière proactive leurs actifs contre les menaces avancées. Cela permet aux entreprises de tirer parti de l’ingéniosité collective de la communauté des hackers pour mieux découvrir et atténuer les risques liés aux applications, aux systèmes et à l’infrastructure.
Les solutions participatives incluent des tests d'intrusion en tant que service, des primes de bogues gérées et des programmes de découverte de vulnérabilités (VDP). Sans surprise, le rapport confirme que les programmes les plus performants de la plateforme offrent les récompenses les plus élevées aux pirates informatiques – généralement 10.000 1 $ ou plus pour la découverte d’une vulnérabilité P1. Les récompenses les plus élevées pour le signalement des vulnérabilités PXNUMX sont versées dans les secteurs des services financiers et du gouvernement.
Les programmes de sécurité participatifs détectent 10 fois plus de vulnérabilités critiques
Au cours de l’année écoulée, les entreprises ont également de plus en plus favorisé les programmes publics de crowdsourcing par rapport aux programmes privés, tandis que les programmes à approche ouverte ont reçu dix fois plus de vulnérabilités P1 que ceux à portée limitée. Un périmètre est l'ensemble défini d'objectifs répertoriés par une organisation comme valeurs à tester. Un programme de bug bounty à portée ouverte ne limite pas ce que les pirates peuvent ou ne peuvent pas tester à la lumière des valeurs de l'organisation.
Le rapport examine également comment les différents rôles des pirates informatiques contribuent à la sécurité participative et comment les plateformes de sécurité participatives peuvent fournir de puissants systèmes d'alerte pour découvrir les vulnérabilités. Plusieurs sections aident à capturer l'esprit de la communauté du crowdsourcing, y compris des sections sur l'évolution du paysage des zones de récompense, les 5 types de vulnérabilités les plus fréquemment signalés et des études de cas clients mettant en évidence Rapyd et ClickHouse.
Plus sur Bugcrowd.com
À propos de Bugcrowd
Bugcrowd, la seule plate-forme de cybersécurité collaborative multi-solutions, combine la mise en correspondance de foule basée sur les données et le ML avec des décennies d'expérience en matière d'applications pour concentrer la bonne créativité humaine sur le bon problème au bon moment. Reconnue par des entreprises du monde entier, la Bugcrowd Security Knowledge Platform™ permet de trouver des vulnérabilités cachées sur toute leur surface d'attaque avant qu'elles ne puissent être exploitées, en tirant parti des connaissances de hackers éthiques de classe mondiale. Bugcrowd est basé à San Francisco et est soutenu par Blackbird Ventures, Costanoa Ventures, Industry Ventures, Paladin Capital Group, Rally Ventures, Salesforce Ventures et Triangle Peak Partners.
Articles liés au sujet