Thought Leadership
Bugcrowd, Anbieter einer Multi-Solution-Crowdsourced-Cybersecurity-Plattform, veröffentlich seinen jährlichen “Inside the Platform: Bugcrowd’s Vulnerability Trends Report“. Der Bericht beschreibt die Arten von Schwachstellen, die laut globalen Hackern derzeit auf dem Vormarsch sind.
Er dokumentiert zudem die stetige zunehmende Nutzung öffentlicher Crowdsourced-Programme aufgrund des wachsenden Bewusstseins und der Akzeptanz für Crowdsourced-Sicherheitsstrategien.
Der öffentliche Sektor (Government) verzeichnete im Jahr 2023 im Vergleich zu 2022 das schnellste Wachstum für Crowdsourced Security, mit einem Anstieg von 151 % bei der Einreichung von Schwachstellen und einem Anstieg von 58 % bei den Priority 1 (oder P1) Belohnungen für das Auffinden kritischer Schwachstellen. Weitere Branchen mit starkem Anstieg der Einreichungen waren der Einzelhandel (+34 %), Unternehmensdienstleistungen (+20 %) und Computersoftware (+12 %).
Im vergangenen Jahr verzeichnete die Hacker-Community im Vergleich zu 2022 einen 30-prozentigen Anstieg der auf der Bugcrowd-Plattform erstellten Web-Einsendungen, einen 18-prozentigen Anstieg der API-Einsendungen, einen 21-prozentigen Anstieg der Android-Einsendungen sowie einen 17-prozentigen Anstieg der iOS-Einsendungen.
„Dieser Report bietet wichtigen Kontext, Einblicke und Möglichkeiten für Sicherheitsverantwortliche, die auf der Suche nach neuen Informationen sind, um ihre Risikoprofile zu untermauern”, sagt Nick McKenzie, Chief Information and Security Officer von Bugcrowd. „Mit Blick auf die Zukunft können wir die Erkenntnisse aus diesem Bericht in Verbindung mit anderen wichtigen Erkenntnissen nutzen, um vorherzusagen, was als Nächstes kommt.”
McKenzie prognostiziert, dass Bedrohungsakteure im Jahr 2024 KI einsetzen werden, um Angriffe auf Unternehmen zu beschleunigen – was mehr Aufwand für Verteidiger bedeutet, aber nicht unbedingt intelligentere Angriffe. Angesichts der anhaltenden Angriffe in diesem Bereich wird es für Sicherheitsverantwortliche immer wichtiger, qualitativ hochwertige Einblicke zu erhalten und die Sicherheit der Lieferkette, das Risiko von Drittanbietern und die Prozesse der Bestandsverwaltung kontinuierlich zu überprüfen. Der “menschliche Risikofaktor” wird ebenfalls gefährlicher werden. Dies basiert auf von Handlungen böswilliger Insider und fehlgeleiteter Mitarbeiter, die Social-Engineering-Angriffen oder der Umgehung interner Kontrollen (absichtlich oder unabsichtlich) zum Opfer fallen sowie in operativer Hinsicht, um der “Cyber-Talentlücke” entgegenzuwirken und ihren Sicherheitsteams bei der “Skalierung” zu helfen. Unternehmen werden mit Sicherheit und auf breiterer Basis das Crowdsourcing menschlicher Intelligenz einsetzen, um kontinuierlich einzigartige oder zuvor nicht identifizierte Schwachstellen adaptieren, da kleinere, weniger vielfältige, budget- oder talentbeschränkte Teams dies nicht leisten können.
Die Bugcrowd-Plattform bringt Unternehmen mit vertrauenswürdigen Hackern zusammen, um ihre Werte proaktiv gegen hochentwickelte Bedrohungen zu verteidigen. Damit können Unternehmen den kollektiven Einfallsreichtum der Hacker-Community nutzen, um Risiken in Anwendungen, Systemen und Infrastrukturen besser aufzudecken und zu minimieren.
Crowdsourced-Lösungen umfassen Penetrationstests als Service, verwaltete Bug Bounties und Programme zur Aufdeckung von Schwachstellen (VDPs). Es überrascht nicht, dass der Bericht bestätigt, dass die erfolgreichsten Programme auf der Plattform die höchsten Belohnungen für Hacker bieten – in der Regel 10.000 US-Dollar oder mehr für das Auffinden einer P1-Schwachstelle. Die höchsten Belohnungen für die Meldung von P1-Schwachstellen werden in den Bereichen Finanzdienstleistungen und Behörden gezahlt.
Im vergangenen Jahr bevorzugten Unternehmen außerdem zunehmend öffentliche Crowdsourcing-Programme gegenüber privaten Programmen, während Programme mit offenem Ansatz zehnmal mehr P1-Schwachstellen erhielten als solche mit begrenztem Geltungsbereich. Ein Geltungsbereich ist die definierte Menge von Zielen, die von einer Organisation als zu testende Werte aufgeführt werden. Ein Bug Bounty-Programm mit offenem Geltungsbereich schränkt nicht ein, was Hacker im Hinblick auf die Werte der Organisation testen können oder nicht.
Der Bericht untersucht auch, wie verschiedene Hacker-Rollen zur Crowdsourced Security beitragen und wie Crowdsourced Security-Plattformen leistungsfähige Warnsysteme zur Aufdeckung von Schwachstellen bieten können. Mehrere Abschnitte tragen dazu bei, den Geist der Crowdsourcing-Community einzufangen, darunter Sektionen über die sich verändernde Landschaft für Belohnungsbereiche, die 5 am häufigsten gemeldeten Schwachstellenarten sowie Fallstudien von Kunden, die Rapyd und ClickHouse in den Mittelpunkt stellen.
Vollständiger Bericht:
Für diese Ausgabe des “Inside the Platform: Bugcrowd’s Vulnerability Trends Reports“ wurden Millionen von propritären Datenpunkten und Schwachstellen analysiert. Diese Datenpunkte wurden zwischen dem 1. Januar 2023 und dem 31. Oktober 2023 aus Tausenden von Programmen auf der Bugcrowd-Plattform gesammelt.
Mit der Veröffentlichung des Berichts bietet Bugcrowd Sicherheitsverantwortlichen wichtige Informationen über Cyber-Trends, die sie auf die besonderen Herausforderungen in ihren Unternehmen anwenden können. Der Bericht beschreibt auch politische Änderungen und Kampagnen, um das Internet zu einem sichereren Ort für ethisches Hacken zu gestalten.
Um ein Exemplar des “Inside the Platform: Bugcrowd’s Vulnerability Trends Report“ herunterzuladen, klicken Sie hier.
www.bugcrowd.com
