A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. No varejo, os registros aumentaram 34%.
A Bugcrowd publicou seu relatório anual “Inside the Platform: Bugcrowd's Vulnerability Trends Report”. O relatório detalha os tipos de vulnerabilidades que os hackers globais dizem estar aumentando atualmente. Também documenta o aumento contínuo no uso de programas públicos de crowdsourcing devido à crescente conscientização e aceitação de estratégias de segurança de crowdsourcing.
A segurança crowdsourced cresceu rapidamente no setor público
O setor público (governo) registou o crescimento mais rápido na segurança de crowdsourcing em 2023 em comparação com 2022, com um aumento de 151% nas submissões de vulnerabilidades e um aumento de 58% nas recompensas de Prioridade 1 (ou P1) para a descoberta de vulnerabilidades críticas. Outros setores com aumentos acentuados nos registros incluíram varejo (+34%), serviços empresariais (+20%) e software de computador (+12%).
No ano passado, a comunidade hacker viu um aumento de 2022% nos envios da web criados na plataforma Bugcrowd, um aumento de 30% nos envios de API, um aumento de 18% nos envios de Android e um aumento de 21% em comparação com 17 - aumento percentual nos envios de iOS .
“Este relatório fornece contexto, insights e oportunidades importantes para os líderes de segurança que buscam novas informações para informar seus perfis de risco”, disse Nick McKenzie, Diretor de Informações e Segurança da Bugcrowd. “Olhando para o futuro, podemos usar os insights deste relatório em conjunto com outros insights importantes para prever o que vem a seguir.”
O crowdsourcing pode apoiar pequenas empresas
McKenzie prevê que em 2024, os agentes de ameaças utilizarão a IA para acelerar ataques às organizações – o que significa mais esforço para os defensores, mas não necessariamente ataques mais inteligentes. Com os ataques contínuos neste espaço, está se tornando cada vez mais importante que os líderes de segurança obtenham insights de alta qualidade e revisem continuamente a segurança da cadeia de suprimentos, o risco de terceiros e os processos de gerenciamento de inventário.
O “fator de risco humano” também se tornará mais perigoso. Isto se baseia nas ações de pessoas internas mal-intencionadas e funcionários equivocados que são vítimas de ataques de engenharia social ou da evasão de controles internos (intencionalmente ou não), bem como operacionalmente para resolver a “lacuna de talentos cibernéticos” e ajudar suas equipes de segurança a “escalar " ajudar. As empresas irão certamente e de forma mais ampla recorrer ao crowdsourcing de inteligência humana para adaptar continuamente vulnerabilidades únicas ou anteriormente não identificadas, porque equipas mais pequenas, menos diversificadas, com orçamento limitado ou com talentos limitados não podem permitir-se isso.
Recompensas financeiras por encontrar vulnerabilidades
A plataforma Bugcrowd conecta empresas a hackers confiáveis para defender proativamente seus ativos contra ameaças avançadas. Isto permite que as empresas aproveitem a engenhosidade colectiva da comunidade hacker para melhor descobrir e mitigar riscos em aplicações, sistemas e infra-estruturas.
As soluções de crowdsourcing incluem testes de penetração como serviço, recompensas gerenciadas por bugs e programas de descoberta de vulnerabilidades (VDPs). Não é de surpreender que o relatório confirme que os programas de maior sucesso na plataforma oferecem as maiores recompensas aos hackers – normalmente US$ 10.000 ou mais para encontrar uma vulnerabilidade P1. As maiores recompensas por reportar vulnerabilidades P1 são pagas nos setores de serviços financeiros e governamentais.
Programas de segurança crowdsourced encontram vulnerabilidades 10 vezes mais críticas
Ao longo do último ano, as empresas também têm favorecido cada vez mais os programas públicos de crowdsourcing em detrimento dos programas privados, enquanto os programas de abordagem aberta receberam dez vezes mais vulnerabilidades P1 do que aqueles com âmbito limitado. Um escopo é o conjunto definido de objetivos listados por uma organização como valores a serem testados. Um programa de recompensa por bugs de escopo aberto não limita o que os hackers podem ou não testar à luz dos valores da organização.
O relatório também examina como diferentes funções de hackers contribuem para a segurança de crowdsourcing e como as plataformas de segurança de crowdsourcing podem fornecer sistemas de alerta poderosos para descobrir vulnerabilidades. Várias seções ajudam a capturar o espírito da comunidade de crowdsourcing, incluindo seções sobre o cenário em mudança nas áreas de recompensa, os cinco tipos de vulnerabilidade mais comumente relatados e estudos de caso de clientes destacando Rapyd e ClickHouse.
Mais em Bugcrowd.com
Sobre Bugcrowd
A Bugcrowd, a única plataforma de segurança cibernética de várias soluções de crowdsourcing, combina correspondência de multidão baseada em dados e ML com décadas de experiência em aplicativos para focar a criatividade humana certa no problema certo no momento certo. Com a confiança de empresas em todo o mundo, a Bugcrowd Security Knowledge Platform™ permite encontrar vulnerabilidades ocultas em toda a superfície de ataque antes que possam ser exploradas, aproveitando o conhecimento de hackers éticos de classe mundial. A Bugcrowd está sediada em San Francisco e é apoiada pela Blackbird Ventures, Costanoa Ventures, Industry Ventures, Paladin Capital Group, Rally Ventures, Salesforce Ventures e Triangle Peak Partners.
Artigos relacionados ao tema