По данным HackerOne, организации заплатили «белым» этическим хакерам 23.5 миллиона долларов США за 10 основных уязвимостей кибербезопасности за один год.

Фото Маркуса Списке на Unsplash

Краткое содержание редактора: некоторые из 10 основных уязвимостей кибербезопасности, такие как межсайтовый скриптинг (XSS) и SQL-инъекция, остаются в поле зрения большинства руководителей информационной безопасности и специалистов-практиков. Для каждого плохо обслуживаемого веб-сайта или приложения эти и многие основные уязвимости могут легко вывести их из строя и сделать их недоступными для работы или стать уязвимыми для зомби, когда злоумышленники могут использовать ресурсы системы и сервера для других гнусных целей. Согласно HackerOne, организации заплатили 23.5 миллиона долларов своим «белым» или этичным хакерам за выявление этих уязвимостей до того, как злоумышленники обнаружат их, тем самым обеспечив безопасность сайтов и приложений. Релиз производителя представлен ниже.

Организации заплатили хакерам 23.5 миллиона долларов США за эти 10 уязвимостей за один год

Отчет HackerOne показывает список наиболее распространенных и серьезных уязвимостей, связанных с межсайтовым скриптингом, неправильным контролем доступа и раскрытием информации

СИНГАПУР, @mcgallen #microwireinfo, 30 октября 2020 г. - Во времена неопределенности безопасность становится все более актуальной задачей. Ставки высоки: организации больше полагаются на технологии, чем когда-либо, и любой, кто полагается на них, может потерять все в случае утечки данных. Но некоторые из самых последних уязвимостей имеют одну общую черту: они были обнаружены, обнаружены и зарегистрированы дружелюбными хакерами, которые могут думать как злоумышленники.

«В этом году организации по всему миру были вынуждены перейти на цифровые технологии со своими предложениями продуктов и услуг», - сказала Миджу Хан, старший директор по управлению продуктами HackerOne. «Компании пытались найти новые источники дохода, создавая цифровые предложения для клиентов, чей образ жизни резко изменился. Десятки миллионов рабочих начали работать удаленно, независимо от того, были ли они готовы. При таких ускоренных темпах цифровой трансформации директорам по информационным технологиям приходилось быстро удовлетворять новые потребности, обеспечивая при этом безопасность существующих систем. Столкнувшись с этими препятствиями, руководители служб безопасности вновь оценили безопасность на базе хакеров как гибкое, масштабируемое и экономичное решение для увеличения собственных ресурсов и предложения подхода с оплатой за результат, который более оправдан в условиях ограниченного бюджета ».

HackerOne ведет самую авторитетную базу данных уязвимостей в отрасли. Хакеры обнаружили более 200,000 10 действительных уязвимостей, и HackerOne проанализировал эти данные, чтобы получить представление о XNUMX наиболее эффективных и вознаграждаемых типах уязвимостей.

Топ-10 наиболее эффективных и вознаграждаемых типов уязвимостей в 2020 году по версии HackerOne в порядке убывания:

  1. Межсайтовый скриптинг (XSS)
  2. Неправильный контроль доступа
  3. Раскрытие информации
  4. Подделка запросов на стороне сервера (SSRF)
  5. Небезопасная прямая ссылка на объект (IDOR)
  6. Повышение привилегий
  7. SQL-инъекция
  8. Неправильная аутентификация
  9. Ввод кода
  10. Подделка межсайтовых запросов (CSRF)

Присмотревшись к первой десятке этого года по сравнению с 2019 Десять основных уязвимостей, основные выводы включают:

  1. Межсайтовый скриптинг уязвимости по-прежнему представляют собой серьезную угрозу для веб-приложений, поскольку злоумышленники, использующие XSS-атаки, могут получить контроль над учетной записью пользователя и украсть личную информацию, такую ​​как пароли, номера банковских счетов, информацию о кредитных картах, личную информацию (PII), номера социального страхования и Больше. За уязвимость, получившую наибольшее количество наград два года подряд, уязвимости XSS обошлись организациям в 4.2 миллиона долларов США в виде общего вознаграждения, что на 26% больше, чем в предыдущем году. На эти ошибки приходится 18% всех обнаруженных уязвимостей, но средняя награда составляет всего 501 доллар США. Средняя сумма вознаграждения за критическую уязвимость составляет 3,650 долларов США, что означает, что организации дешево устраняют эту распространенную, потенциально болезненную ошибку.
  2. Неправильный контроль доступа (поднялось с девятого места в 2019 году) и Раскрытие информации (по-прежнему занимая третье место) остаются обычным явлением. Награды за ненадлежащий контроль доступа увеличились на 134% по сравнению с прошлым годом и составили чуть более 4 миллионов долларов США. Раскрытие информации не сильно отставало, увеличившись на 63% в годовом исчислении. Решения по проектированию контроля доступа должны приниматься людьми, а не технологиями, и вероятность ошибок высока, и обе ошибки практически невозможно обнаружить с помощью автоматизированных инструментов.
  3. ССРФ уязвимости, которые можно использовать для нацеливания на внутренние системы за брандмауэрами, указывают на риск миграции в облако. Раньше ошибки SSRF были довольно безобидными и занимали наше седьмое место, поскольку позволяли сканировать только внутреннюю сеть, а иногда и доступ к внутренним панелям администратора. Но в нашу эпоху быстрой цифровой трансформации появление облачной архитектуры и незащищенных конечных точек метаданных сделало эти уязвимости все более критическими.
  4. SQL-инъекция падает из года в год. Считается одной из самых серьезных угроз безопасности веб-приложений OWASP и другими, масштаб атак с использованием SQL-инъекций может быть разрушительным, поскольку конфиденциальные данные, включая бизнес-информацию, интеллектуальную собственность и важные данные клиентов, хранятся на серверах баз данных, подверженных этим атакам. . В прошлые годы SQL-инъекция была одним из наиболее распространенных типов уязвимостей. Однако наши данные показывают, что в годовом исчислении он упал с пятого места в 2019 году на седьмое место в 2020 году. Сдвигая безопасность, организации используют хакеров и другие методы для упреждающего мониторинга поверхностей атак и предотвращения попадания ошибок в код.

«Выявление наиболее распространенных типов уязвимостей обходится недорого, - продолжил Хан. «Из 10 наиболее часто присуждаемых уязвимостей только« Неподходящий контроль доступа »,« Подделка серверных запросов »(SSRF) и« Раскрытие информации »в среднем увеличились более чем на 10%. Остальные упали в среднем или почти не изменились. В отличие от традиционных инструментов и методов безопасности, которые становятся более дорогими и громоздкими по мере изменения целей и расширения поверхности атаки, безопасность с помощью хакеров на самом деле становится более рентабельной с течением времени. С хакерами становится дешевле предотвращать использование злоумышленниками наиболее распространенных ошибок ».

Полную информацию о 10 самых эффективных и вознаграждаемых типах уязвимостей HackerOne - версия 2020 года можно найти на странице https://www.hackerone.com/top-10-vulnerabilities

О HackerOne

HackerOne дает миру возможность построить более безопасный Интернет. HackerOne - самая надежная в мире платформа безопасности на базе хакеров, которая дает организациям доступ к самому большому сообществу хакеров на планете. Вооруженное самой надежной базой данных о тенденциях уязвимостей и отраслевых эталонных показателях, хакерское сообщество снижает кибер-риски путем поиска, обнаружения и безопасного сообщения о реальных слабостях безопасности для организаций во всех отраслях и сферах атак. Заказчиками являются Министерство обороны США, Dropbox, General Motors, GitHub, Goldman Sachs, Google, Hyatt, Intel, Lufthansa, Microsoft, MINDEF Singapore, Nintendo, PayPal, Qualcomm, Slack, Starbucks, Twitter и Verizon Media. HackerOne заняла пятое место в списке самых инновационных компаний мира Fast Company на 2020 год. HackerOne со штаб-квартирой в Сан-Франциско имеет представительства в Лондоне, Нью-Йорке, Нидерландах, Франции, Сингапуре и более чем в 70 других местах по всему миру.

методология

Этот выпуск «10 наиболее эффективных и вознаграждаемых типов уязвимостей HackerOne» основан на собственных данных HackerOne, посвященных изучению слабых мест в системе безопасности, устраненных на платформе HackerOne в период с мая 2019 г. по апрель 2020 г. баунти программы. Все классификации уязвимостей были сделаны или подтверждены клиентами HackerOne, включая тип уязвимости, степень воздействия и серьезность.

Примечание: таксономия рейтинга уязвимости, который HackerOne сопоставляет со стандартом Common Weakness Enumeration, используется клиентами и хакерами HackerOne для классификации обнаруженных уязвимостей. Здесь представлены данные с мая 2019 года по апрель 2020 года.

###