HackerOneによると、組織は「ホワイトハット」の倫理的ハッカーに、サイバーセキュリティの脆弱性トップ23.5に対して10年間でXNUMX万米ドルを支払いました。

Markus SpiskeによるUnsplashの写真

編集者の概要:クロスサイトスクリプティング(XSS)やSQLインジェクションなど、サイバーセキュリティの脆弱性トップ10のいくつかは、ほとんどのCISOや実務家にとって依然として注目されています。 メンテナンスが不十分なWebサイトやアプリごとに、これらの脆弱性や多くの脆弱性が簡単に機能しなくなり、オフラインになるか、侵入者がシステムやサーバーのリソースを悪用するためにゾンビの影響を受けやすくなります。 HackerOneによると、組織は「ホワイトハッカー」または倫理的ハッカーに23.5万米ドルを支払い、悪意のある人物が脆弱性を見つける前にこれらの脆弱性を特定し、サイトとアプリを安全に保ちます。 ベンダーのリリースは以下のとおりです。

組織は、これらの23.5の脆弱性に対して10年間でXNUMX万米ドルをハッカーに支払いました

HackerOneレポートは、クロスサイトスクリプティング、不適切なアクセス制御、および最も一般的で影響力のある脆弱性の情報開示トップリストを明らかにします

シンガポール、@ mcgallen#microwire情報、30年2020月XNUMX日 –不確実な時期には、セキュリティがこれまで以上に差し迫った優先事項になります。 リスクは高く、組織はこれまで以上にテクノロジーに依存しており、テクノロジーに依存している人は誰でもデータ侵害ですべてを失う可能性があります。 しかし、最近の脆弱性のいくつかには共通点がXNUMXつあります。それは、攻撃者のように考えることができる友好的なハッカーによって検出、発見、報告されたということです。

「今年、世界中の組織は、製品の提供とサービスをデジタル化することを余儀なくされました」と、HackerOneの製品管理担当シニアディレクターであるMijuHan氏は述べています。 「企業は新しい収益源を見つけるためにスクランブルをかけ、ライフスタイルが劇的に変化した顧客向けのデジタル製品を作成しました。 数千万人の労働者が、準備ができているかどうかに関係なく、リモートで作業を開始しました。 このデジタルトランスフォーメーションの加速に伴い、CISOは、既存のシステムのセキュリティを確保しながら、新しいニーズを迅速に促進する必要がありました。 これらの障害に直面して、セキュリティリーダーは、ハッカーによるセキュリティが、自身のリソースを増強し、厳しい予算の下でより正当化される成果報酬型アプローチを提供する、機敏でスケーラブルで費用効果の高いソリューションとして新たに認められました。」

HackerOneは、業界で最も信頼できる脆弱性のデータベースを維持しています。 ハッカーによって発見された200,000を超える有効な脆弱性があるため、HackerOneはこのデータを調べて、最も影響力があり、報われる脆弱性の上位10種類から洞察を収集しました。

HackerOneの10年の最も影響力があり報われる脆弱性タイプのトップ2020は、降順で次のとおりです。

  1. クロスサイトスクリプティング(XSS)
  2. 不適切なアクセス制御
  3. 開示情報
  4. サーバー側リクエストフォージェリ(SSRF)
  5. 安全でない直接オブジェクト参照(IDOR)
  6. 権限昇格
  7. SQLインジェクション
  8. 不適切な認証
  9. コードの注入
  10. クロスサイトリクエストフォージェリ(CSRF)

と比較して今年のトップXNUMXを詳しく見てみましょう 2019 トップXNUMXの脆弱性、主な調査結果は次のとおりです。

  1. クロスサイトスクリプティング XSS攻撃を悪用する攻撃者がユーザーのアカウントを制御し、パスワード、銀行口座番号、クレジットカード情報、個人識別情報(PII)、社会保障番号などの個人情報を盗む可能性があるため、脆弱性は引き続きWebアプリケーションに対する主要な脅威です。もっと。 4.2年連続で最も多くの賞を受賞したXSSの脆弱性は、組織に賞金総額で26万米ドルの費用をかけ、前年度から18%増加しました。 これらのバグは、報告されたすべての脆弱性の501%を占めていますが、平均的な報奨金はわずか3,650米ドルです。 重大な脆弱性の平均報奨金はXNUMX米ドルであり、これは、組織がこの一般的な、潜在的に痛みを伴うバグを安価で軽減していることを意味します。
  2. 不適切なアクセス制御 (2019年のXNUMX位から上昇)そして 開示情報 (まだ134番目のスポットを保持している)一般的なままです。 不適切なアクセス制御に対する賞は、前年比4%増の63万米ドル強になりました。 情報開示はそれほど遅れておらず、前年比でXNUMX%増加しました。 アクセス制御の設計上の決定は、テクノロジーではなく人間が行う必要があり、エラーの可能性が高く、自動化されたツールを使用して両方のエラーを検出することはほぼ不可能です。
  3. SSRF ファイアウォールの背後にある内部システムを標的にするために悪用される可能性のある脆弱性は、クラウド移行のリスクを示しています。 以前は、SSRFのバグはかなり害がなく、内部ネットワークスキャンのみを許可し、場合によっては内部管理パネルへのアクセスを許可していたため、XNUMX位になりました。 しかし、急速なデジタルトランスフォーメーションのこの時代において、クラウドアーキテクチャと保護されていないメタデータエンドポイントの出現により、これらの脆弱性はますます重大になっています。
  4. SQLインジェクション 前年比で減少しています。 OWASPなどによるWebアプリケーションセキュリティへの最悪の脅威の2019つと見なされているSQLインジェクション攻撃の規模は、ビジネス情報、知的財産、重要な顧客データなどの機密データがこれらの攻撃を受けやすいデータベースサーバーに保存されるため、壊滅的なものになる可能性があります。 。 過去数年間、SQLインジェクションは最も一般的な脆弱性タイプの2020つでした。 ただし、データによると、XNUMX年のXNUMX位からXNUMX年のXNUMX位に前年比で低下しています。セキュリティを左にシフトすることで、組織はハッカーやその他の方法を活用して、攻撃対象領域をプロアクティブに監視し、バグによるコードの入力を防止しています。

「最も一般的な脆弱性の種類を見つけるのは安価です」とHan氏は続けました。 「最も授与された弱点の上位10種類のうち、不適切なアクセス制御、サーバー側の要求偽造(SSRF)、および情報開示のみが、平均報奨金の授与が10%以上増加しました。 その他は平均値が下がるか、ほぼ横ばいでした。 目標が変更され、攻撃対象領域が拡大するにつれて、より高価で面倒になる従来のセキュリティツールや方法とは異なり、ハッカーによるセキュリティは、時間の経過とともに実際にはより費用効果が高くなります。 ハッカーがいると、悪意のある人物が最も一般的なバグを悪用するのを防ぐための費用が安くなります。」

完全なHackerOneトップ10の最も影響力があり報酬のある脆弱性タイプ– 2020エディションについては、次のWebサイトをご覧ください。 https://www.hackerone.com/top-10-vulnerabilities

HackerOneについて

HackerOneは、より安全なインターネットを構築するために世界に力を与えます。 世界で最も信頼されているハッカーを利用したセキュリティプラットフォームであるHackerOneは、組織が世界最大のハッカーコミュニティにアクセスできるようにします。 脆弱性の傾向と業界のベンチマークの最も堅牢なデータベースを備えたハッカーコミュニティは、すべての業界と攻撃対象の組織の実際のセキュリティの弱点を検索、発見、安全に報告することにより、サイバーリスクを軽減します。 顧客には、米国国防総省、Dropbox、General Motors、GitHub、Goldman Sachs、Google、ハイアット、インテル、ルフトハンザ、マイクロソフト、MINDEFシンガポール、任天堂、PayPal、Qualcomm、Slack、スターバックス、Twitter、Verizon Mediaが含まれます。 HackerOneは、2020年のFast Company World's Most Innovative Companiesリストで70番目にランクされました。HackerOneは、サンフランシスコに本社を置き、ロンドン、ニューヨーク、オランダ、フランス、シンガポール、および世界中のXNUMX以上の場所に拠点を置いています。

方法論

このエディションのHackerOneTop 10 Most Impactful and Rewarded Vulnerability Typesは、2019年2020月からXNUMX年XNUMX月の間にHackerOneプラットフォームで解決されたセキュリティの弱点を調査するHackerOne独自のデータに基づいています。ここに含まれる脆弱性は、脆弱性の開示と公開および非公開を通じてハッカーコミュニティによって報告されましたバウンティプログラム。 脆弱性の種類、影響、重大度など、すべての脆弱性の分類はHackerOneのお客様によって作成または確認されました。

注: 脆弱性評価の分類法HackerOneが業界標準のCommonWeakness Enumerationにマッピングする、は、報告された脆弱性を分類するためにHackerOneの顧客とハッカーによって使用されます。 ここに示されているデータは、2019年2020月からXNUMX年XNUMX月までのものです。

###