Liczba biały kapelusz hakerzy, którzy znajdują luki w zabezpieczeniach i ostrzegają o nich firmy, zwykle w celu uzyskania nagrody za błędy, która wzrosła o 63% w 2020 r., zgodnie z najnowszym rocznym Raport hakera.
Liczba etycznych hakerów zgłaszających błędy lub luki w zabezpieczeniach przedsiębiorstwom wzrosła o 143% od 2018 r., Co pokazuje, że hakerzy i zespoły ds. Bezpieczeństwa IT znacznie częściej współpracują, aby zarządzać cyberzagrożeniami.
W raporcie opublikowanym 9 marca przez platformę bezpieczeństwa HackerOne stwierdzono również, że ponad jedna trzecia (38%) hakerów poświęciła więcej czasu na hakowanie od początku pandemii, a wielu skupia się na pojawiających się zagrożeniach, które pojawiły się w przejście do pracy zdalnej i wynikające z tego transformacje cyfrowe organizacji.
Na przykład, gdy więcej przedsiębiorstw przeniosło się do chmury, raporty o błędach w konfiguracji wzrosły o 310%, odzwierciedlając zmiany powierzchni ataków w wyniku pandemii.
W raporcie stwierdzono, że najwięksi hakerzy zgłaszali średnio błędy w 20 różnych kategoriach luk, przy czym liczba zgłoszeń wzrosła o 53% zarówno w przypadku niewłaściwej kontroli dostępu, jak i eskalacji uprawnień.
“Te lata Raport hakera demonstruje głębię informacji o lukach, które hakerzy wnoszą do programu bezpieczeństwa ”- powiedział Jobert Abma, współzałożyciel HackerOne. „Obserwujemy ogromny wzrost liczby zgłoszeń luk w zabezpieczeniach we wszystkich kategoriach oraz wzrost liczby hakerów specjalizujących się w wielu różnych technologiach.
„Ponieważ obserwujemy wolniejszy wzrost niektórych typowych luk w zabezpieczeniach, które można łatwo znaleźć i naprawić, hakerzy są bardziej kreatywni, próbując odkryć nowe kierunki ataków. Za każdym razem, gdy haker łączy ze sobą kilka słabych punktów w zabezpieczeniach, aby pomóc klientowi uniknąć włamania, lub znajduje unikalne obejście poprawki oprogramowania, udowadnia, że maszyny nigdy tak naprawdę nie wyprzedzą ludzkości ”.
W raporcie stwierdzono również, że liczba hakerów, którzy nie zgłosili błędu z powodu braku jasnych procesów zgłaszania lub wcześniejszych negatywnych doświadczeń, spadła o połowę – poprawa w stosunku do 2020 Raport hakera, co wykazało, że prawie dwie trzecie znalazło błędy i postanowiło ich nie zgłaszać.
Jeśli chodzi o motywację hakerów, badanie przeprowadzone przez HackerOne zawarte w raporcie wykazało, że jego społeczność hakerów w białych kapeluszach była w dużej mierze motywowana mieszanką nagród i możliwości uczenia się.
Na przykład hakerzy zarobili w zeszłym roku ponad 40 milionów dolarów na nagrodach za błędy – nagrody pieniężne przyznawane organizacjom, które znajdują i zgłaszają ważne słabości w zabezpieczeniach w celu ich bezpiecznego rozwiązania – w zeszłym roku, przynosząc łączne zarobki hakerów do ponad 100 milionów dolarów.
W marcu 2019 roku 19-letni argentyński haker Santiago Lopez, który w 2015 roku zaczął zgłaszać luki w zabezpieczeniach za pośrednictwem programu wykrywania błędów HackerOne, został Pierwszy na świecie haker, który został milionerem poprzez legalne hakowanie zajęcia.
Sześć miesięcy później, w sierpniu 2019 r., pięciu bardziej etycznych hakerów – w tym Brytyjczyk Mark Litchfield – byli również uznawani za milionerów, którzy w tym momencie wspólnie odkryli prawie 5000 luk w zabezpieczeniach. 2021 Raport hakera Zauważył, że dziewięciu hakerów zostało milionerami, a jeden przekroczył 2 miliony dolarów w 2020 roku.
Według raportu, oprócz nagród, edukacja nadal jest głównym motorem dla hakerów, przy czym 85% robi to, aby się uczyć, 62% robi to, aby rozwinąć swoją karierę, a 33% już wykorzystało swoje umiejętności, aby znaleźć pracę.
Spośród wszystkich hakerów zdecydowana większość (82%) hakuje tylko w niepełnym wymiarze godzin, a nieco ponad połowa (55%) ma mniej niż 25 lat.
„Tradycyjne rozwiązania nie nadążają już za podwójnymi wymaganiami dotyczącymi szybkości i bezpieczeństwa” – podsumowano w raporcie. „Zespoły ds. Bezpieczeństwa wewnętrznego zmagają się ze skalowaniem swoich umiejętności i wiedzy specjalistycznej w obliczu rosnących i elastycznych powierzchni ataków wynikających z szybkiej transformacji cyfrowej i pracy zdalnej.
„Zapraszanie hakerów do dzielenia się spostrzeżeniami oznacza, że zespoły ds. Bezpieczeństwa mogą poszerzyć swój zasięg i wiedzę, aby lepiej przygotować się na pojawiające się zagrożenia”.
Według HackerOne Trendy hakerskie i bezpieczeństwo w 2021 roku raport z grudnia 2020 r., trzy największe luki w zabezpieczeniach w tym roku to cross-site scripting (23%), ujawnianie informacji (18%) i niewłaściwa kontrola dostępu (10%).
„Z powodu pandemii Covid-19 widziałem napływ łowców nagród za błędy w różnych programach” – powiedział HackerOne singapurski haker Samuel Eng. „Zauważyłem, że na początku pandemii wiele programów stwardniało bardzo szybko, zwłaszcza typowe klasy luk w zabezpieczeniach, takie jak XSS, zastrzyki SQL i obejścia podstawowego uwierzytelniania”.
Dodał, że organizacje powinny skupić się na obejściu uwierzytelniania i problemach z kontrolą dostępu w 2021 roku.