Очевидно ни одна система не идеальна, и ее нельзя не нарушать и независимо от того, насколько он безопасен, всегда будет способ получить к нему доступ, и довольно грубый пример этого - метод, который они разработали в прошлом году, с помощью которого можно было узнать информацию о компьютер, который нужно захватить, будучи отключенным от сети, из-за простого факта звука, издаваемого вентиляторами, может быть скомпрометирован.
И хорошо, об этом недавно говорили, годовой отчет "Безопасность с помощью хакеров: анализ отрасли" от HackerOne показывает, что в прошлом году этические хакеры выявили более 66.000 XNUMX действительных уязвимостей.
Для тех, кто не знаком с HackerOne, глобальной платформой безопасности для совместной работы, было обнаружено, что Этичные хакеры сообщили о более чем 66.000 действительных уязвимостях в этом году на 20% больше, чем в 2020 году.
Совместная безопасность - это растущая практика, особенно поддерживаемая очень значительным увеличением пентест-кампаний (+ 264%). Пандемия привела к ускорению цифровой трансформации и миграция в облако, что подвергает организации еще большему количеству уязвимостей по мере расширения поверхностей атаки и продолжения передачи услуг на аутсорсинг.
Годовой отраслевой информационный отчет предоставляет информацию из базы данных программы ошибок и уязвимостей крупнейший в мире
Щедрость. В этом году он сообщает нам, что количество бонусов, выплачиваемых хакерам за обнаружение критических уязвимостей, растет, и организации отдают предпочтение ошибкам с наибольшим воздействием.
Компании также быстрее, чем когда-либо, справляются с уязвимостями и устраняют их, поскольку эти проблемы становятся серьезными проблемами для бизнеса.
Отчет наконец раскрывает 10 уязвимостей, о которых сообщают чаще всего, обеспечение понимания того, как расставить приоритеты в усилиях по устранению уязвимостей и какие уязвимости являются наиболее ценными.
Крис Эванс, директор по информационной безопасности и недавно назначенный директор по взлому HackerOne, комментирует:
«Сегодня даже самые консервативные организации признают добавленную стоимость внешней точки зрения, которую приносят этические хакеры. Например, мы наблюдаем значительный рост практики совместной безопасности среди финансовых игроков. Измерение и количественная оценка рисков - их основной бизнес, и они понимают, что при работе с хакерами риск ниже. Наши клиенты полагаются на данные отчетов об уязвимостях на протяжении всего цикла разработки программного обеспечения. Таким образом, они могут раньше обнаруживать неисправности и недорого устранять их.
Вот некоторые ключевые выводы из отчета:
La совместная безопасность продолжает расти с увеличением на 34% количества программ безопасности с участием этичных хакеров в 2021 году.
Все отрасли являются частью этой тенденции, включая наиболее важные, традиционно консервативные отрасли.
В частности, в финансовом секторе количество совместных программ безопасности увеличилось на 62%. В государственном секторе эта практика увеличилась на 89% благодаря ведущим учреждениям, таким как Министерство обороны Великобритании или агентство GovTech в Сингапуре.
Хакеры сообщили на 20% больше уязвимостей, чем в 2020 году. награда за традиционные ошибки увеличена на 10%программы раскрытия уязвимостей (VDP) увеличились на 47%, а отчеты о тестировании на проникновение (пентесты) увеличились на 264%.
Средняя цена вознаграждения за обнаружение критической уязвимости увеличено на 20%, с 2500 долларов США до $ 3000 в 2021 году. Средняя сумма вознаграждения увеличилась на 13% за критическую уязвимость и на 30% за очень критическую уязвимость.
В течение прошлого года, среднее время разрешения уменьшилось 19%, с 33 до 26,7 дней, поскольку в некоторых секторах, таких как розничная торговля и электронная коммерция, время разрешения проблем сократилось более чем на 50 дней.%.
Самая распространенная ошибка в HackerOne это все еще Скрипты для сайтаОднако с 2020 года количество ошибок других типов значительно увеличилось. Раскрытие информации увеличилось на 58%, а ошибки бизнес-логики - на 67%, что позволило им впервые попасть в первую десятку.
В конце концов если вам интересно узнать об этом больше вы можете проверить детали в по следующей ссылке.