La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. Nel commercio al dettaglio, le pratiche archiviate sono aumentate del 34%.
Bugcrowd ha pubblicato il suo rapporto annuale “All'interno della piattaforma: rapporto sulle tendenze delle vulnerabilità di Bugcrowd”. Il rapporto descrive in dettaglio i tipi di vulnerabilità che secondo gli hacker globali sono attualmente in aumento. Documenta inoltre il continuo aumento dell'uso di programmi pubblici di crowdsourcing dovuto alla crescente consapevolezza e accettazione delle strategie di sicurezza di crowdsourcing.
La sicurezza in crowdsourcing è cresciuta rapidamente nel settore pubblico
Il settore pubblico (governo) ha registrato la crescita più rapida per la sicurezza in crowdsourcing nel 2023 rispetto al 2022, con un aumento del 151% delle segnalazioni di vulnerabilità e un aumento del 58% dei premi con Priorità 1 (o P1) per la scoperta di vulnerabilità critiche. Altri settori con forti aumenti delle dichiarazioni sono stati la vendita al dettaglio (+34%), i servizi alle imprese (+20%) e il software per computer (+12%).
L'anno scorso, la comunità degli hacker ha registrato un aumento del 2022% negli invii web creati sulla piattaforma Bugcrowd, un aumento del 30% negli invii API, un aumento del 18% negli invii Android e un aumento del 21% rispetto al 17: aumento percentuale degli invii iOS .
"Questo rapporto fornisce contesto, approfondimenti e opportunità importanti per i leader della sicurezza che cercano nuove informazioni per informare i loro profili di rischio", ha affermato Nick McKenzie, Chief Information and Security Officer di Bugcrowd. “Guardando al futuro, possiamo utilizzare le informazioni di questo rapporto insieme ad altre informazioni chiave per prevedere ciò che verrà dopo”.
Il crowdsourcing può supportare le piccole imprese
McKenzie prevede che nel 2024 gli autori delle minacce utilizzeranno l’intelligenza artificiale per accelerare gli attacchi alle organizzazioni, il che significa maggiori sforzi per i difensori, ma non necessariamente attacchi più intelligenti. Con gli attacchi in corso in questo ambito, sta diventando sempre più importante per i leader della sicurezza acquisire insight di alta qualità e rivedere continuamente la sicurezza della catena di fornitura, i rischi di terze parti e i processi di gestione dell’inventario.
Anche il “fattore di rischio umano” diventerà più pericoloso. Ciò si basa sulle azioni di addetti ai lavori malintenzionati e dipendenti fuorviati che cadono vittime di attacchi di ingegneria sociale o di elusione dei controlli interni (intenzionalmente o meno), nonché sul piano operativo per affrontare il "gap di talenti informatici" e aiutare i loro team di sicurezza a "crescere" " aiutare. Le aziende impiegheranno sicuramente e in modo più ampio il crowdsourcing dell’intelligenza umana per adattare continuamente vulnerabilità uniche o precedentemente non identificate perché team più piccoli, meno diversificati, con budget o limiti di talento non possono permetterselo.
Ricompense finanziarie per la ricerca di vulnerabilità
La piattaforma Bugcrowd mette in contatto le aziende con hacker fidati per difendere in modo proattivo le proprie risorse dalle minacce avanzate. Ciò consente alle aziende di sfruttare l’ingegno collettivo della comunità hacker per scoprire e mitigare meglio i rischi in applicazioni, sistemi e infrastrutture.
Le soluzioni in crowdsourcing includono test di penetrazione come servizio, bug bounties gestiti e programmi di rilevamento delle vulnerabilità (VDP). Non sorprende che il rapporto confermi che i programmi di maggior successo sulla piattaforma offrono le ricompense più alte per gli hacker, in genere 10.000 dollari o più per aver trovato una vulnerabilità P1. Le ricompense più elevate per la segnalazione delle vulnerabilità P1 vengono pagate nei servizi finanziari e nei settori governativi.
I programmi di sicurezza in crowdsourcing rilevano vulnerabilità 10 volte più critiche
Nell’ultimo anno, le aziende hanno anche favorito sempre più i programmi di crowdsourcing pubblici rispetto a quelli privati, mentre i programmi ad approccio aperto hanno ricevuto dieci volte più vulnerabilità P1 rispetto a quelli con portata limitata. Uno scopo è l'insieme definito di obiettivi elencati da un'organizzazione come valori da testare. Un programma di bug bounty ad ambito aperto non limita ciò che gli hacker possono o non possono testare alla luce dei valori dell'organizzazione.
Il rapporto esamina inoltre il modo in cui i diversi ruoli degli hacker contribuiscono alla sicurezza in crowdsourcing e in che modo le piattaforme di sicurezza in crowdsourcing possono fornire potenti sistemi di allarme per scoprire le vulnerabilità. Diverse sezioni aiutano a catturare lo spirito della comunità di crowdsourcing, comprese sezioni sul panorama in evoluzione per le aree di ricompensa, i 5 tipi di vulnerabilità più comunemente segnalati e casi di studio dei clienti che mettono in evidenza Rapyd e ClickHouse.
Altro su Bugcrowd.com
A proposito di Bugcrowd
Bugcrowd, l'unica piattaforma di sicurezza informatica in crowdsourcing multi-soluzione, combina il crowd-matching basato su dati e ML con decenni di esperienza applicativa per concentrare la giusta creatività umana sul problema giusto al momento giusto. Scelto da aziende di tutto il mondo, Bugcrowd Security Knowledge Platform™ consente di trovare vulnerabilità nascoste in tutta la loro superficie di attacco prima che possano essere sfruttate, sfruttando la conoscenza di hacker etici di livello mondiale. Bugcrowd ha sede a San Francisco ed è supportato da Blackbird Ventures, Costanoa Ventures, Industry Ventures, Paladin Capital Group, Rally Ventures, Salesforce Ventures e Triangle Peak Partners.
Articoli relativi all'argomento