HackerOne에 따르면 조직은 "화이트 햇"윤리적 해커에게 23.5 년 동안 10 대 사이버 보안 취약성에 대해 XNUMX 만 달러를 지불했습니다.

Unsplash에 Markus Spiske 님의 사진

편집자 요약 : 크로스 사이트 스크립팅 (XSS) 및 SQL 주입과 같은 10 대 사이버 보안 취약성 중 일부는 대부분의 CISO와 실무자들에게 여전히 레이더에 남아 있습니다. 잘못 관리 된 모든 웹 사이트 또는 앱에 대해 이러한 많은 주요 취약성은 쉽게 그들을 불구로 만들어 오프라인으로 만들거나 침입자가 다른 악의적 인 목적을 위해 시스템 및 서버 리소스를 활용하는 좀비로 취약해질 수 있습니다. HackerOne에 따르면 조직은 악의적 인 행위자가 발견하기 전에 이러한 취약점을 식별하기 위해 "화이트 햇"또는 윤리적 해커에게 23.5 만 달러를 지불하여 사이트와 앱을 안전하게 보호했습니다. 공급 업체의 릴리스는 다음과 같습니다.

조직은 해커에게이 23.5 가지 취약점에 대해 10 년 만에 XNUMX 만 달러를 지불했습니다.

HackerOne 보고서는 교차 사이트 스크립팅, 부적절한 액세스 제어 및 가장 일반적이고 영향력있는 취약성의 정보 공개 상위 목록을 보여줍니다.

싱가포르, @mcgallen #microwireinfo, 30 년 2020 월 XNUMX 일 – 불확실한시기에 보안은 더욱 시급한 우선 순위가됩니다. 위험이 높습니다. 조직은 그 어느 때보 다 기술에 더 많이 의존하고 있으며 기술에 의존하는 사람은 누구나 데이터 유출로 인해 모든 것을 잃을 수 있습니다. 그러나 가장 최근의 취약점 중 일부에는 공통점이 있습니다. 공격자처럼 생각할 수있는 친숙한 해커가 탐지, 발견 및보고했습니다.

HackerOne 제품 관리 담당 선임 이사 Han Miju는“올해 전 세계 조직은 제품 제공 및 서비스를 디지털화해야했습니다. “기업들은 새로운 수익원을 찾기 위해 노력했고, 라이프 스타일이 극적으로 변한 고객들을위한 디지털 제품을 만들었습니다. 수천만 명의 작업자가 준비 여부에 관계없이 원격으로 일하기 시작했습니다. 이러한 가속화 된 디지털 전환 속도로 CISO는 기존 시스템의 보안을 보장하면서 새로운 요구 사항을 신속하게 지원해야했습니다. 이러한 장애물에 직면 한 보안 리더는 해커 기반 보안이 민첩하고 확장 가능하며 비용 효율적인 솔루션으로 인식되어 자체 리소스를 늘리고 제한된 예산 하에서 더 정당한 결과에 대한 지불 방식을 제공합니다. "

HackerOne은 업계에서 가장 권위있는 취약점 데이터베이스를 유지합니다. 해커가 발견 한 200,000 개가 넘는 유효한 취약점을 통해 HackerOne은이 데이터를 조사하여 가장 영향력 있고 보상을받는 상위 10 개 취약점 유형에서 통찰력을 얻었습니다.

HackerOne의 10 년 가장 영향력 있고 보상을받은 2020 가지 취약점 유형은 내림차순으로 다음과 같습니다.

  1. 크로스 사이트 스크립팅 (XSS)
  2. 부적절한 액세스 제어
  3. 공개 정보
  4. 서버 측 요청 위조 (SSRF)
  5. 안전하지 않은 직접 개체 참조 (IDOR)
  6. 권한 에스컬레이션
  7. SQL 주입
  8. 부적절한 인증
  9. 코드 삽입
  10. CSRF (Cross-Site Request Forgery)

올해의 XNUMX 대 기업과 비교해 자세히 살펴보면 2019 상위 XNUMX 개 취약점, 주요 결과는 다음과 같습니다.

  1. 교차 사이트 스크립팅 XSS 공격을 악용하는 공격자가 사용자의 계정을 제어하고 암호, 은행 계좌 번호, 신용 카드 정보, 개인 식별 정보 (PII), 사회 보장 번호 및 개인 정보와 같은 개인 정보를 훔칠 수 있으므로 취약점은 계속해서 웹 애플리케이션에 대한 주요 위협이됩니다. 더. 4.2 년 동안 가장 많이 수상한 취약점 인 XSS 취약점은 조직에 총 현상금으로 미화 26 만 달러의 비용이 들었으며 이는 전년 대비 18 % 증가했습니다. 이 버그는보고 된 모든 취약점의 501 %를 차지하지만 평균 보상금은 미화 3,650 달러에 불과합니다. 심각한 취약성에 대한 평균 현상금이 미화 XNUMX 달러이므로 이는 조직이이 일반적이고 잠재적으로 고통스러운 버그를 저렴하게 완화하고 있음을 의미합니다.
  2. 부적절한 액세스 제어 (2019 년 XNUMX 위에서 상승) 공개 정보 (여전히 세 번째 자리를 잡고 있음)은 일반적입니다. 부적절한 액세스 제어에 대한상은 전년 대비 134 % 증가한 4 백만 달러를 약간 넘었습니다. 정보 공개도 그다지 뒤지지 않아 전년 대비 63 % 증가했습니다. 액세스 제어 설계 결정은 기술이 아닌 사람이 내려야하며 오류 가능성이 높으며 두 오류 모두 자동화 도구를 사용하여 감지하는 것이 거의 불가능합니다.
  3. SSRF 방화벽 뒤의 내부 시스템을 대상으로 악용 될 수있는 취약성은 클라우드 마이그레이션의 위험을 보여줍니다. 이전에 SSRF 버그는 내부 네트워크 스캔 만 허용하고 때로는 내부 관리자 패널에 액세스 할 수 있었기 때문에 상당히 무해했으며 XNUMX 위를 차지했습니다. 그러나 급속한 디지털 전환의 시대에 클라우드 아키텍처와 보호되지 않는 메타 데이터 엔드 포인트의 출현은 이러한 취약성을 점점 더 중요하게 만들었습니다.
  4. SQL 주입 매년 하락하고 있습니다. OWASP 등의 웹 애플리케이션 보안에 대한 최악의 위협 중 하나로 간주되는 SQL 인젝션 공격의 규모는 비즈니스 정보, 지적 재산 및 중요한 고객 데이터를 포함한 민감한 데이터가 이러한 공격에 취약한 데이터베이스 서버에 저장되기 때문에 치명적일 수 있습니다. . 과거에 SQL 주입은 가장 일반적인 취약점 유형 중 하나였습니다. 그러나 우리의 데이터에 따르면 2019 년 2020 월에서 XNUMX 년 XNUMX 위로 전년 대비 감소하고 있습니다. 보안을 왼쪽으로 이동함으로써 조직은 해커 및 기타 방법을 활용하여 공격 표면을 사전에 모니터링하고 버그가 코드에 들어가는 것을 방지합니다.

Han은“가장 일반적인 취약점 유형을 찾는 것은 비용이 적게 듭니다. “가장 많이받은 취약점 유형 상위 10 개 중 부적절한 액세스 제어, SSRF (Server-Side Request Forgery) 및 정보 공개 만이 평균 상금이 10 % 이상 상승했습니다. 나머지는 평균 가치가 떨어지거나 거의 평평했습니다. 목표가 변경되고 공격 표면이 확장됨에 따라 더 비싸고 성가신 기존 보안 도구 및 방법과 달리 해커 기반 보안은 실제로 시간이 지남에 따라 더 비용 효율적입니다. 해커를 사용하면 악의적 인 공격자가 가장 일반적인 버그를 악용하는 것을 방지하는 데 비용이 적게 듭니다. "

HackerOne에서 가장 영향력 있고 보상을받은 10 가지 취약점 유형 – 2020 Edition 전체를 보려면 다음을 방문하십시오. https://www.hackerone.com/top-10-vulnerabilities

HackerOne 정보

HackerOne은 세상이보다 안전한 인터넷을 구축 할 수 있도록 지원합니다. 세계에서 가장 신뢰할 수있는 해커 기반 보안 플랫폼 인 HackerOne은 조직이 지구상에서 가장 큰 해커 커뮤니티에 액세스 할 수 있도록합니다. 가장 강력한 취약성 동향 및 업계 벤치 마크 데이터베이스로 무장 한 해커 커뮤니티는 모든 업계 및 공격 표면에서 조직의 실제 보안 약점을 검색, 발견 및 안전하게보고하여 사이버 위험을 완화합니다. 고객으로는 미국 국방부, Dropbox, General Motors, GitHub, Goldman Sachs, Google, Hyatt, Intel, Lufthansa, Microsoft, MINDEF Singapore, Nintendo, PayPal, Qualcomm, Slack, Starbucks, Twitter 및 Verizon Media가 있습니다. HackerOne은 2020 년 Fast Company World의 가장 혁신적인 기업 목록에서 70 위를 차지했습니다. 샌프란시스코에 본사를두고있는 HackerOne은 런던, 뉴욕, 네덜란드, 프랑스, ​​싱가포르 및 전 세계 XNUMX 개 이상의 다른 지역에 진출 해 있습니다.

방법론

이번 HackerOne 상위 10 개 가장 영향력 있고 보상을받는 취약성 유형은 2019 년 2020 월부터 XNUMX 년 XNUMX 월 사이에 HackerOne 플랫폼에서 해결 된 보안 취약점을 조사한 HackerOne의 독점 데이터를 기반으로합니다. 여기에 포함 된 취약성은 취약성 공개와 공개 및 비공개를 통해 해커 커뮤니티에서보고했습니다. 현상금 프로그램. 취약점 유형, 영향 및 심각도를 포함하여 모든 취약점 분류는 HackerOne 고객이 만들거나 확인했습니다.

참고 : 취약성 등급 분류HackerOne이 업계 표준 Common Weakness Enumeration에 매핑하는는 HackerOne 고객과 해커가보고 된 취약점을 분류하는 데 사용됩니다. 여기에 제시된 데이터는 2019 년 2020 월부터 XNUMX 년 XNUMX 월까지입니다.

# # #