За останній рік безпека краудсорсингу значно зросла. У державному секторі було зареєстровано на 151 відсоток більше вразливостей, ніж у попередньому році. У роздрібній торгівлі кількість заявок зросла на 34 відсотки.
Bugcrowd опублікував свій щорічний «Inside the Platform: Bugcrowd's Vulnerability Trends Report». У звіті детально описано типи вразливостей, кількість яких, за словами світових хакерів, зараз зростає. Він також документує постійне збільшення використання загальнодоступних краудсорсингових програм через зростання обізнаності та прийняття краудсорсингових стратегій безпеки.
Краудсорсингова безпека швидко зросла в державному секторі
У державному секторі (уряді) у 2023 році спостерігалося найшвидше зростання краудсорсингової безпеки порівняно з 2022 роком: кількість повідомлень про вразливості зросла на 151%, а винагороди Пріоритету 58 (або P1) за виявлення критичних уразливостей – на 1%. Серед інших галузей, у яких різко зросла кількість заявок, були роздрібна торгівля (+34%), бізнес-послуги (+20%) і комп’ютерне програмне забезпечення (+12%).
Минулого року хакерська спільнота спостерігала збільшення кількості веб-матеріалів, створених на платформі Bugcrowd, на 2022%, API-інтерфейсів – на 30%, Android – на 18% і iOS – на 21% порівняно з 17 роком. .
«Цей звіт надає важливий контекст, інформацію та можливості для керівників служби безпеки, які шукають нову інформацію для формування своїх профілів ризиків», — сказав Нік Маккензі, директор з інформації та безпеки Bugcrowd. «У майбутньому ми можемо використовувати інформацію з цього звіту разом з іншими ключовими даними, щоб передбачити, що буде далі».
Краудсорсинг може підтримати невеликі підприємства
Маккензі прогнозує, що у 2024 році суб’єкти загрози використовуватимуть ШІ для прискорення атак на організації – це означає більше зусиль для захисників, але не обов’язково розумніші атаки. З огляду на триваючі атаки в цьому просторі для керівників служби безпеки стає все більш важливим отримати високоякісну інформацію та постійно перевіряти безпеку ланцюжка поставок, ризики третіх сторін і процеси управління запасами.
Небезпечнішим стане і «людський фактор ризику». Це ґрунтується на діях зловмисних інсайдерів і введених в оману співробітників, які стають жертвами атак соціальної інженерії або обходу внутрішнього контролю (навмисно чи ненавмисно), а також на оперативному усуненні «дефіциту кіберталантів» і допомоги своїм командам безпеки «розширити масштаб». " допомагати. Компанії, безумовно, ширше використовуватимуть краудсорсинг людського інтелекту для постійної адаптації унікальних або раніше невизначених вразливостей, оскільки менші, менш різноманітні команди, обмежені в бюджеті чи талантах, не можуть собі цього дозволити.
Фінансова винагорода за пошук вразливостей
Платформа Bugcrowd об’єднує компанії з хакерами, яким довіряють, щоб проактивно захищати свої активи від сучасних загроз. Це дозволяє компаніям використовувати колективну винахідливість хакерської спільноти, щоб краще виявляти та зменшувати ризики в програмах, системах та інфраструктурі.
Краудсорсингові рішення включають тестування на проникнення як послугу, керовані винагороди за помилки та програми виявлення вразливостей (VDP). Не дивно, що звіт підтверджує, що найуспішніші програми на платформі пропонують найвищі винагороди для хакерів — зазвичай 10.000 1 доларів США або більше за виявлення вразливості P1. Найвищі винагороди за повідомлення про вразливості PXNUMX виплачуються у фінансових послугах та державному секторі.
Краудсорсингові програми безпеки знаходять у 10 разів більше критичних вразливостей
Протягом останнього року компанії також віддавали перевагу публічним програмам краудсорсингу над приватними, тоді як програми відкритого підходу отримали в десять разів більше уразливостей P1, ніж програми з обмеженим масштабом. Обсяг — це визначений набір цілей, перерахованих організацією як цінності, що підлягають перевірці. Відкрита програма винагороди за помилки не обмежує те, що хакери можуть або не можуть тестувати в світлі цінностей організації.
У звіті також досліджується, як різні ролі хакерів сприяють краудсорсинговій безпеці та як краудсорсингові платформи безпеки можуть забезпечувати потужні системи оповіщення для виявлення вразливостей. Кілька розділів допомагають відобразити дух спільноти краудсорсингу, зокрема розділи про мінливий ландшафт для зон винагороди, 5 типів уразливостей, про які найчастіше повідомляють, і приклади клієнтів, що висвітлюють Rapyd і ClickHouse.
Більше на Bugcrowd.com
Про Bugcrowd
Bugcrowd, єдина краудсорсингова платформа кібербезпеки, що містить багато рішень, поєднує крауд-збір на основі даних і машинного навчання з десятиліттями досвіду застосування, щоб зосередити людську творчість на потрібній проблемі в потрібний час. Платформа знань Bugcrowd Security Knowledge Platform™, якій довіряють компанії з усього світу, дає змогу знаходити приховані вразливості на всій їхній поверхні атаки, перш ніж їх можна буде використати, використовуючи знання етичних хакерів світового рівня. Bugcrowd знаходиться в Сан-Франциско і підтримується Blackbird Ventures, Costanoa Ventures, Industry Ventures, Paladin Capital Group, Rally Ventures, Salesforce Ventures і Triangle Peak Partners.
Статті по темі