Kitle kaynaklı güvenlik geçen yıl önemli ölçüde arttı. Kamu sektöründe önceki yıla göre yüzde 151 daha fazla güvenlik açığı rapor edildi. Perakendede başvurular yüzde 34 arttı.
Bugcrowd yıllık “Platformun İçinde: Bugcrowd'un Güvenlik Açığı Eğilimleri Raporu”nu yayınladı. Rapor, küresel bilgisayar korsanlarının şu anda artışta olduğunu söylediği güvenlik açıklarının türlerini ayrıntılarıyla anlatıyor. Ayrıca, kitle kaynaklı güvenlik stratejilerinin artan farkındalığı ve kabulü nedeniyle kamuya açık kitle kaynaklı programların kullanımında devam eden artışı da belgeliyor.
Kitle kaynaklı güvenlik kamu sektöründe hızla büyüdü
Kamu sektörü (hükümet), 2023'ye kıyasla 2022'te kitle kaynaklı güvenlik açısından en hızlı büyümeyi gördü; güvenlik açığı bildirimlerinde %151'lik bir artış ve kritik güvenlik açıklarının keşfi için Öncelik 58 (veya P1) ödüllerinde %1'lik bir artış. Başvurularda keskin artış görülen diğer sektörler arasında perakende (+%34), ticari hizmetler (+%20) ve bilgisayar yazılımı (+%12) yer aldı.
Geçtiğimiz yıl, hacker topluluğu Bugcrowd platformunda oluşturulan web gönderimlerinde %2022, API gönderimlerinde %30, Android gönderimlerinde %18 ve iOS gönderimlerinde 21'ye kıyasla %17 artış gördü. .
Bugcrowd'un Bilgi ve Güvenlik Direktörü Nick McKenzie, "Bu rapor, risk profillerini bilgilendirmek için yeni bilgiler arayan güvenlik liderlerine önemli bağlam, içgörü ve fırsatlar sunuyor" dedi. "İleriye baktığımızda, bu rapordaki öngörüleri diğer önemli öngörülerle birlikte kullanarak bundan sonra ne olacağını tahmin edebiliriz."
Kitle kaynak kullanımı küçük işletmeleri destekleyebilir
McKenzie, 2024'te tehdit aktörlerinin kuruluşlara yönelik saldırıları hızlandırmak için yapay zekayı kullanacağını tahmin ediyor; bu da savunmacılar için daha fazla çaba anlamına geliyor ancak daha akıllı saldırılar anlamına gelmiyor. Bu alanda devam eden saldırılarla birlikte, güvenlik liderlerinin yüksek kaliteli içgörüler elde etmesi ve tedarik zinciri güvenliğini, üçüncü taraf riskini ve envanter yönetimi süreçlerini sürekli olarak incelemesi giderek daha önemli hale geliyor.
“İnsan risk faktörü” de daha tehlikeli hale gelecek. Bu, sosyal mühendislik saldırılarının veya iç kontrollerin (kasıtlı veya kasıtsız) atlatılmasının kurbanı olan kötü niyetli kişilerin ve yanlış yönlendirilmiş çalışanların eylemlerine ve ayrıca operasyonel olarak "siber yetenek açığını" gidermeye ve güvenlik ekiplerinin "ölçeklenmesine" yardımcı olmaya dayanmaktadır. " yardım etmek. Daha küçük, daha az çeşitliliğe sahip, bütçesi veya yeteneği kısıtlı ekiplerin bunu karşılayamaması nedeniyle, kuruluşlar benzersiz veya daha önce tanımlanamayan güvenlik açıklarını sürekli olarak uyarlamak için insan zekasının kitlesel kaynak kullanımını kesinlikle ve daha geniş çapta kullanacaklardır.
Güvenlik açıklarını bulmaya yönelik mali ödüller
Bugcrowd platformu, varlıklarını gelişmiş tehditlere karşı proaktif olarak savunmak için şirketleri güvenilir bilgisayar korsanlarıyla buluşturuyor. Bu, şirketlerin uygulamalar, sistemler ve altyapıdaki riskleri daha iyi ortaya çıkarmak ve azaltmak için hacker topluluğunun kolektif yaratıcılığından yararlanmasına olanak tanır.
Kitle kaynaklı çözümler, hizmet olarak sızma testini, yönetilen hata ödüllerini ve güvenlik açığı keşif programlarını (VDP'ler) içerir. Raporun, platformdaki en başarılı programların bilgisayar korsanlarına en yüksek ödülleri (genellikle P10.000 güvenlik açığını bulma karşılığında 1 ABD doları veya daha fazla) sunduğunu doğrulaması şaşırtıcı değil. P1 güvenlik açıklarını bildirmenin en yüksek ödülleri finansal hizmetler ve devlet sektörlerinde ödenmektedir.
Kitle kaynaklı güvenlik programları 10 kat daha fazla kritik güvenlik açığı buluyor
Geçtiğimiz yıl boyunca şirketler, özel programlara kıyasla kamuya açık kitle kaynak programlarını giderek daha fazla tercih ederken, açık yaklaşım programları, sınırlı kapsama sahip programlara kıyasla on kat daha fazla P1 güvenlik açığına maruz kaldı. Kapsam, bir kuruluş tarafından test edilecek değerler olarak listelenen tanımlanmış hedefler kümesidir. Açık kapsamlı bir hata ödül programı, kuruluşun değerleri ışığında bilgisayar korsanlarının neyi test edebileceğini veya neyi test edemeyeceğini sınırlamaz.
Raporda ayrıca farklı hacker rollerinin kitle kaynaklı güvenliğe nasıl katkıda bulunduğu ve kitle kaynaklı güvenlik platformlarının güvenlik açıklarını ortaya çıkarmak için nasıl güçlü uyarı sistemleri sağlayabildiği inceleniyor. Ödül alanları için değişen ortam, en sık bildirilen 5 güvenlik açığı türü ve Rapyd ve ClickHouse'u vurgulayan müşteri vaka çalışmaları da dahil olmak üzere çeşitli bölümler kitle kaynak kullanımı topluluğunun ruhunu yakalamaya yardımcı olur.
Daha fazlası Bugcrowd.com'da
Bugcrowd Hakkında
Kitle kaynaklı tek çok çözümlü siber güvenlik platformu olan Bugcrowd, doğru insan yaratıcılığını doğru zamanda doğru soruna odaklamak için veri ve makine öğrenimi odaklı kitle eşleştirmeyi onlarca yıllık uygulama deneyimiyle birleştirir. Dünyanın dört bir yanındaki şirketler tarafından güvenilen Bugcrowd Security Knowledge Platform™, birinci sınıf etik bilgisayar korsanlarının bilgisinden yararlanarak, saldırı yüzeylerindeki gizli güvenlik açıklarını istismar edilmeden önce bulmayı mümkün kılar. Bugcrowd, San Francisco merkezlidir ve Blackbird Ventures, Costanoa Ventures, Industry Ventures, Paladin Capital Group, Rally Ventures, Salesforce Ventures ve Triangle Peak Partners tarafından desteklenmektedir.
Konuyla ilgili makaleler