ברור ש אף מערכת אינה מושלמת ואינה פטורה מהפרה ולא משנה כמה זה יטען שהוא בטוח, תמיד תהיה דרך שבה ניתן יהיה לגשת לזה, ודוגמה גסה למדי לכך היא על השיטה שהם עיצבו בשנה שעברה, בה ניתן היה לדעת את המידע של מחשב שיילכד ממנו ניתוק מהרשת, עם העובדה הפשוטה של הצליל הנפלט על ידי המאווררים, עלול להיפגע.
ובכן, דיברו על זה לאחרונה, ה דוח שנתי "אבטחה מונעת האקרים: תובנות תעשייתיות" מ-HackerOne מראה שהאקרים אתיים זיהו יותר מ-66.000 נקודות תורפה תקפות בשנה שעברה.
למי שלא מודע ל-HackerOne, פלטפורמת אבטחה שיתופית גלובלית, ונמצא כי האקרים אתיים דיווחו על יותר מ-66.000 נקודות תורפה חוקיות השנה, 20% יותר מאשר ב-2020.
אבטחה שיתופית היא נוהג הולך וגובר, המתקיים במיוחד על ידי עלייה משמעותית מאוד בקמפיינים הפופולריים ביותר (+264%). המגיפה הביאה להאצה של הטרנספורמציה הדיגיטלית והגירה לענן, חושפת ארגונים לפגיעויות נוספות ככל ששטחי ההתקפה מתרחבים והשירותים ממשיכים לבצע מיקור חוץ.
דוח המידע השנתי לתעשייה מספק מידע ממסד הנתונים של תוכניות באגים ופגיעות הגדול בעולם
נדיבות. זה אומר לנו השנה שמספר הבונוסים המשולמים להאקרים עבור זיהוי נקודות תורפה קריטיות נמצא במגמת עלייה, כאשר ארגונים נותנים עדיפות לבאגים בעלי ההשפעה הגבוהה ביותר.
עסקים גם מהירים מאי פעם בניהול ותיקון נקודות תורפה, מכיוון שבעיות אלו הופכות לבעיות עסקיות מרכזיות.
סוף סוף הדו"ח חושף את 10 נקודות התורפה המדווחות ביותר, מתן הבנה כיצד לתעדף מאמצים לתיקון פגיעויות ואילו נקודות תורפה הן בעלות הערך הרב ביותר.
כריס אוונס, CISO ולאחרונה מונה למנהל ה-Hacking ב-HackerOne:
"כיום, אפילו הארגונים השמרנים ביותר מכירים בערך המוסף של נקודת המבט החיצונית שמביאים האקרים אתיים. לדוגמה, אנו רואים צמיחה חזקה בשיטות אבטחה שיתופיות בקרב שחקנים פיננסיים. מדידת סיכון וכימות היא הליבה של העסק שלהם, והם מבינים שהסיכון נמוך יותר כאשר עובדים עם האקרים. הלקוחות שלנו מסתמכים על נתוני דיווח על פגיעות לאורך מחזורי פיתוח התוכנה שלהם. לכן הם יכולים לזהות תקלות מוקדם יותר ולתקן אותן בצורה כלכלית.
להלן כמה ממצאים מרכזיים מהדוח:
La האבטחה השיתופית ממשיכה לגדול עם עלייה של 34% במספר תוכניות האבטחה הכוללות האקרים אתיים ב-2021.
כל התעשיות הן חלק מהמגמה הזו, כולל התעשיות הקריטיות ביותר, השמרניות המסורתיות.
במגזר הפיננסי במיוחד גדלו תוכניות האבטחה השיתופית ב-62%. במגזר הציבורי, שיטות העבודה הללו עלו ב-89%, מונעות על ידי מוסדות דגל כמו משרד ההגנה הבריטי או סוכנות GovTech בסינגפור.
האקרים דיווחו על 20% יותר פגיעויות מאשר ב-2020. אמנם פרס הבאג המסורתי גדל ב-10%, תוכניות גילוי פגיעות (VDP) ראו עלייה של 47% ודוחות בדיקות חדירה (מבדקים) עלו ב-264%.
המחיר הממוצע של פרס עבור מציאת פגיעות קריטית גדל ב-20%, מ-$2500 ל $ 3000 בשנת 2021. הסכום הממוצע של תגמול גדל ב-13% עבור פגיעות קריטית ו-30% עבור פרצה קריטית מאוד.
במהלך השנה האחרונה, ממוצע זמן הרזולוציה ירד 19%, מ-33 ימים ל-26,7 ימים, מכיוון שחלק מהמגזרים כמו קמעונאות ומסחר אלקטרוני ראו ירידה של יותר מ-50 ימים.
הבאג המדווח ביותר ב-HackerOne זה עדיין סקריפטים בין אתריםעם זאת, סוגים אחרים של טעויות ראו עלייה משמעותית מאז 2020. חשיפת המידע גדלה ב-58% וטעויות ההיגיון העסקי ראו עלייה של 67%, מה שמקנה להם לראשונה מקום בטופ 10.
בסופו של דבר אם אתה מעוניין לדעת יותר על כך אתה יכול לבדוק את הפרטים ב הקישור הבא.