Laut HackerOne zahlten Unternehmen ethischen Hackern mit „White Hat“ 23.5 Millionen US-Dollar für die zehn größten Sicherheitslücken im Bereich Cybersicherheit in einem Jahr

Foto von Markus Spiske auf Unsplash

Redaktion: Einige der zehn wichtigsten Sicherheitslücken im Bereich Cybersicherheit, wie Cross-Site-Scripting (XSS) und SQL-Injection, bleiben für die meisten CISOs und Praktiker auf dem Radar. Für jede schlecht gewartete Website oder App können diese und viele der wichtigsten Sicherheitslücken sie leicht lähmen und entweder offline machen oder als Zombies für Eindringlinge anfällig werden, um System- und Serverressourcen für andere schändliche Zwecke zu nutzen. Laut HackerOne haben Unternehmen ihrem „White Hat“ oder ethischen Hackern 10 Millionen US-Dollar gezahlt, um diese Sicherheitslücken zu identifizieren, bevor die schlechten Akteure sie finden, und so Websites und Apps sicher zu halten. Die Version des Anbieters finden Sie weiter unten.

Unternehmen zahlten Hackern 23.5 Millionen US-Dollar für diese 10 Sicherheitslücken in einem Jahr

Der HackerOne-Bericht enthüllt Cross-Site-Scripting, unsachgemäße Zugriffskontrolle und Offenlegung von Informationen zu den häufigsten und schwerwiegendsten Sicherheitslücken

SINGAPUR, @mcgallen #microwireinfo, 30. Oktober 2020 - In Zeiten der Unsicherheit wird Sicherheit immer dringlicher. Es steht viel auf dem Spiel: Unternehmen sind mehr denn je auf Technologie angewiesen, und jeder, der sich auf Technologie verlässt, kann bei einem Datenverstoß alles verlieren. Einige der jüngsten Sicherheitslücken haben jedoch eines gemeinsam: Sie wurden von freundlichen Hackern entdeckt, entdeckt und gemeldet, die wie Angreifer denken können.

"In diesem Jahr mussten Unternehmen weltweit ihre Produktangebote und -dienstleistungen digitalisieren", sagte HackerOne, Senior Director für Produktmanagement bei Miju Han. „Unternehmen suchten nach neuen Einnahmequellen und schufen digitale Angebote für Kunden, deren Lebensstil sich dramatisch verändert hatte. Dutzende Millionen Arbeiter begannen aus der Ferne zu arbeiten, unabhängig davon, ob sie bereit waren oder nicht. Mit diesem beschleunigten Tempo der digitalen Transformation mussten CISOs schnell neue Anforderungen erfüllen und gleichzeitig die Sicherheit bestehender Systeme gewährleisten. Angesichts dieser Hindernisse haben Sicherheitsverantwortliche eine neue Wertschätzung für Hacker-basierte Sicherheit als flinke, skalierbare und kostengünstige Lösung erhalten, um ihre eigenen Ressourcen zu erweitern und einen Pay-for-Results-Ansatz anzubieten, der bei knappen Budgets vertretbarer ist. “

HackerOne unterhält die maßgeblichste Datenbank für Sicherheitslücken in der Branche. Mit über 200,000 gültigen Sicherheitslücken, die von Hackern gefunden wurden, hat HackerOne diese Daten untersucht, um Erkenntnisse aus den zehn wichtigsten und am meisten belohnten Sicherheitslücken zu gewinnen.

Die 10 effektivsten und am meisten belohnten Sicherheitslücken von HackerOne im Jahr 2020 sind in absteigender Reihenfolge:

  1. Cross-Site Scripting (XSS)
  2. Unsachgemäße Zugriffskontrolle
  3. Offenlegungsinformationen
  4. Serverseitige Anforderungsfälschung (SSRF)
  5. Unsichere direkte Objektreferenz (IDOR)
  6. Privilegien Eskalation
  7. SQL Injection
  8. Falsche Authentifizierung
  9. Code Injection
  10. Cross-Site Request Forgery (CSRF)

Ein genauerer Blick auf die diesjährigen Top Ten im Vergleich zu den 2019 Zu den zehn wichtigsten Sicherheitslücken gehören:

  1. Cross-Site-Scripting Sicherheitslücken stellen weiterhin eine große Bedrohung für Webanwendungen dar, da Angreifer, die XSS-Angriffe ausnutzen, die Kontrolle über das Benutzerkonto erlangen und persönliche Informationen wie Passwörter, Bankkontonummern, Kreditkarteninformationen, personenbezogene Daten (PII), Sozialversicherungsnummern und Mehr. Die XSS-Sicherheitslücke, die zwei Jahre in Folge am häufigsten vergeben wurde, kostete Unternehmen insgesamt 4.2 Millionen US-Dollar an Prämien, ein Plus von 26% gegenüber dem Vorjahr. Diese Fehler machen 18% aller gemeldeten Sicherheitslücken aus, aber die durchschnittliche Prämie beträgt nur 501 US-Dollar. Mit einem durchschnittlichen Kopfgeld für eine kritische Sicherheitsanfälligkeit von 3,650 US-Dollar bedeutet dies, dass Unternehmen diesen häufigen, möglicherweise schmerzhaften Fehler billig abmildern.
  2. Unsachgemäße Zugriffskontrolle (vom neunten Platz im Jahr 2019) und Offenlegungsinformationen (hält immer noch den dritten Platz) bleiben üblich. Die Auszeichnungen für unsachgemäße Zugangskontrolle stiegen gegenüber dem Vorjahr um 134% auf etwas mehr als 4 Mio. USD. Die Offenlegung von Informationen lag nicht weit zurück und stieg gegenüber dem Vorjahr um 63%. Entwurfsentscheidungen für die Zugangskontrolle müssen vom Menschen getroffen werden, nicht von der Technologie. Das Fehlerpotential ist hoch, und beide Fehler können mit automatisierten Tools kaum erkannt werden.
  3. SSRF Schwachstellen, die ausgenutzt werden können, um auf interne Systeme hinter Firewalls abzuzielen, weisen auf das Risiko von Cloud-Migrationen hin. Zuvor waren SSRF-Fehler ziemlich harmlos und belegten unseren siebten Platz, da sie nur das Scannen des internen Netzwerks und manchmal den Zugriff auf interne Admin-Panels ermöglichten. In dieser Zeit der schnellen digitalen Transformation hat das Aufkommen der Cloud-Architektur und ungeschützter Metadaten-Endpunkte diese Sicherheitsanfälligkeiten jedoch zunehmend kritischer gemacht.
  4. SQL Injection sinkt im Jahresvergleich. Als eine der schlimmsten Bedrohungen für die Sicherheit von Webanwendungen durch OWASP und andere angesehen, kann das Ausmaß der SQL-Injection-Angriffe verheerend sein, da vertrauliche Daten, einschließlich Geschäftsinformationen, geistiges Eigentum und wichtige Kundendaten, auf Datenbankservern gespeichert werden, die für diese Angriffe anfällig sind . In den vergangenen Jahren war die SQL-Injection einer der häufigsten Schwachstellentypen. Unsere Daten zeigen jedoch, dass sie im Jahresvergleich vom fünften im Jahr 2019 auf den siebten im Jahr 2020 gesunken sind. Durch die Verlagerung der Sicherheit nach links setzen Unternehmen Hacker und andere Methoden ein, um Angriffsflächen proaktiv zu überwachen und zu verhindern, dass Fehler Code eingeben.

"Das Auffinden der häufigsten Schwachstellentypen ist kostengünstig", fuhr Han fort. „Von den Top 10 der am häufigsten ausgezeichneten Schwachstellentypen stiegen die durchschnittlichen Kopfgeldprämien nur durch unsachgemäße Zugriffskontrolle, serverseitige Anforderungsfälschung (SSRF) und Offenlegung von Informationen um mehr als 10%. Die anderen fielen im Durchschnittswert oder waren fast flach. Im Gegensatz zu herkömmlichen Sicherheitstools und -methoden, die mit der Änderung der Ziele und der Erweiterung der Angriffsfläche teurer und umständlicher werden, ist die Sicherheit durch Hacker im Laufe der Zeit kostengünstiger. Mit Hackern wird es immer billiger, zu verhindern, dass schlechte Schauspieler die häufigsten Fehler ausnutzen. “

Die vollständigen HackerOne Top 10 der effektivsten und am meisten belohnten Sicherheitslücken - Ausgabe 2020 finden Sie unter https://www.hackerone.com/top-10-vulnerabilities

Über HackerOne

HackerOne befähigt die Welt, ein sichereres Internet aufzubauen. Als weltweit vertrauenswürdigste von Hackern betriebene Sicherheitsplattform bietet HackerOne Unternehmen Zugriff auf die größte Community von Hackern auf dem Planeten. Ausgestattet mit der robustesten Datenbank mit Schwachstellentrends und Branchen-Benchmarks verringert die Hacker-Community das Cyber-Risiko, indem sie Sicherheitslücken in der Praxis für Unternehmen aller Branchen und Angriffsflächen sucht, findet und sicher meldet. Zu den Kunden zählen das US-Verteidigungsministerium, Dropbox, General Motors, GitHub, Goldman Sachs, Google, Hyatt, Intel, Lufthansa, Microsoft, MINDEF Singapur, Nintendo, PayPal, Qualcomm, Slack, Starbucks, Twitter und Verizon Media. HackerOne wurde auf der Liste der innovativsten Unternehmen der Fast Company-Welt für 2020 auf Platz fünf gewählt. HackerOne hat seinen Hauptsitz in San Francisco und ist in London, New York, den Niederlanden, Frankreich, Singapur und an über 70 anderen Standorten weltweit vertreten.

Methodik

Diese Ausgabe der HackerOne Top 10 der effektivsten und am meisten belohnten Sicherheitslücken basiert auf den proprietären Daten von HackerOne, in denen Sicherheitslücken untersucht wurden, die zwischen Mai 2019 und April 2020 auf der HackerOne-Plattform behoben wurden. Die hier enthaltenen Sicherheitslücken wurden von der Hacker-Community durch Offenlegung von Sicherheitslücken sowie durch öffentliche und private Informationen gemeldet Kopfgeldprogramme. Alle Schwachstellenklassifizierungen wurden von HackerOne-Kunden vorgenommen oder bestätigt, einschließlich Schwachstellentyp, Auswirkung und Schweregrad.

Beachten Sie das Taxonomie der SchwachstellenbewertungHackerOne, das dem Industriestandard Common Weakness Enumeration zugeordnet ist, wird von HackerOne-Kunden und -Hackern verwendet, um gemeldete Schwachstellen zu kategorisieren. Die hier präsentierten Daten sind von Mai 2019 bis April 2020.

###