Çok çözümlü kitle kaynaklı siber güvenlik platformu Bugcrowd, etik bilgisayar korsanlarının şirket içi güvenlik ekiplerine değerlerini defalarca kanıtlamaya devam etmesiyle birlikte, 2023 yılında ana akım son kullanıcı kuruluşları arasında kitle kaynaklı güvenlik stratejilerinin giderek daha fazla kabul gördüğünü ve benimsendiğini söylüyor.
Kuruluş bu hafta son yıllık raporunu yayınladı. Platformun içinde Rapor, açık kapsamını iddia ettiği son 12 ayda, güvenlik açığı ödül programlarına (VRP’ler), diğer adıyla hata ödül programlarına yönelik kitle kaynaklı yaklaşımın, geleneksel yaklaşımlardan 10 kat daha fazla kritik sorun bulduğunu ortaya koyuyor.
2023 yılında, genel güvenlik açığı bildirimlerinde %151 ve kritik kusurlarda %56 artışla, hükümet ve kamu sektörü dikeylerindeki müşterilerin kitle kaynaklı etik korsanlığı bir seçenek olarak kabul etmeye en istekli olanlar olduğu ortaya çıktı.
Perakende sektörüne ilişkin başvurular %34, kurumsal hizmetler sektörüne %20 ve bilgisayar yazılımı sektörüne %12 artış gösterdi.
Genel olarak Bugcrowd’un etik hackleme topluluğu, web güvenlik açığı bildirimlerinde %30, uygulama programlama arayüzü (API) güvenlik açığı gönderimlerinde %18, Android güvenlik açığı gönderimlerinde %21 ve iOS güvenlik açığı gönderimlerinde %17 artış kaydetti. Tüm veriler 2022 yılıyla yıllık karşılaştırmayı temsil ediyor.
“Bir endüstri olarak gerçekten pek çok değişikliğin eşiğindeyiz ve bu raporun amacı, güvenlik liderlerini ve uygulayıcılarını bu değişikliklere hazırlanmak için gerekli trend bilgileri, veriler ve uzman tahminleriyle donatmaktır” diye yazdı Raporun önsözünde Bugcrowd CISO Nick McKenzie.
“Son 12 aydaki güvenlik açığı verilerinden yararlanan bu rapor, risk profillerini desteklemek için yeni bilgiler arayan güvenlik liderlerine kritik bağlam, öngörüler ve fırsatlar sunuyor.”
Bugcrowd’un son raporunda vurgulanan bazı önemli trendleri özetleyen McKenzie şöyle devam etti: “Araştırma süreci boyunca, güvenlik açıklarının hala artmakta olduğunu görmek beni şaşırtmadı. Hızlı dijitalleşmedeki genel artışı (işletmelerin üretken yapay zeka gibi iş süreçlerine eklediği yeni teknolojiler dahil) birçok yeni özelliğe sahip daha fazla ürünle birleştirdiğinizde, hatalarda katlanarak artan bir artışla karşılaşmanız kaçınılmazdır.
“Raporda özellikle etkileyici bulduğum bir diğer görüş, kamuya açık kitle kaynaklı güvenlik programlarının özel programlara tercih edilmesine yönelik eğilimin artmasıdır. Daha fazla program debriyajı bırakıyor ve viteslerini ‘halka açık’a çeviriyor.”
En çok kim ödüyor?
Yalnızca pen testinden geçim sağlamanın mümkün olup olmadığını merak eden etik hackerlar için Bugcrowd raporu ayrıca topluluğun 2023’te aldığı ödemelerin ölçeğine ilişkin yeni veriler de içeriyor.
Bugcrowd matrisinde Öncelik 1 olarak derecelendirilen en etkili güvenlik açıkları için bilgisayar korsanları, temel kimlik bilgileri erişimine sahip ve bilgisayar korsanı kısıtlaması olmayan test edilmemiş bir uygulamadaki bir güvenlik açığı için 3.500 ila 4.500 ABD Doları (2.750 ila 3.500 £) aralığında bir yerden başlamayı bekleyebilirler.
Ölçeği yükseltirken, bilgisayar korsanları, daha önce kitle kaynaklı bir programın parçası olan, iyi test edilmiş bir uygulamadaki, orta derecede test edilmiş API’ler ve uygulamalardaki bir güvenlik açığı için 5.500 ila 7.500 ABD Doları (4.300 ila 5.900 £) tutarında ödeme görmeyi bekleyebilirler ve varsayılan olarak: güvenlik açığı olabilecek kalın istemciler/ikili dosyalar ve/veya gömülü cihazlar.
Üst düzey P1 güvenlik açıkları için, sağlamlaştırılmış ve hassas uygulamalar, API’ler ve orta ila yüksek güvenlikli kalın istemciler/ikili dosyalar ve/veya güçlendirilmiş gömülü cihazlardaki güvenlik açıkları için 11.000 ila 20.000 ABD Doları (8.600 ila 15.700 £) görmeyi bekleyebilirler.
Sektörlere göre ödemeler önemli ölçüde değişiyor ve rapor bu konuda çok daha ayrıntılı veriler içeriyor, ancak kripto para birimi endüstrisi, Bugcrowd’un verilerinde özellikle iyi ödeme yapan bir sektör olarak öne çıkıyor ve P1 kusurları sıklıkla 50.000 doların (39.300 £) üzerinde ödül alıyor.
Bugcrowd, bilgisayar korsanlarının aldığı ödüllerin ölçeğinin muhtemelen büyümeye devam edeceğini söyledi – özellikle enflasyon nedeniyle değil, 2018’de 1 sterlin bugün yaklaşık 1,23 sterlin değerinde – ama aynı zamanda pazardaki artan rekabet baskısı nedeniyle de. Aslında, rekabete ayak uydurmak için yakın zamanda önerilen ödül aralıklarını yükseltti.
Yapay zeka etik hackerlara olan ihtiyacı kanıtlıyor
McKenzie, 2024’ün geri kalanına baktığımızda, Bugcrowd’un etik bilgisayar korsanlarının ve VRP’lerin değerini kanıtlamaya devam edeceğine inandığı üç trendin altını çizdi.
Bu eğilimlerin birincisi ve ikincisi, bir dereceye kadar, tehdit aktörleri arasında rakip yapay zekanın (AI) artan ilgisinden kaynaklanacak.
İlk etapta, kuruluşların özellikle tedarik zinciri güvenliği, üçüncü taraf riski ve envanter yönetimi ile ilgili alanlarda daha iyi içgörülere, kapsama alanına ve sürekli güvenceye yatırım yapması gerekecek.
İkinci örnekte, hedef odaklı kimlik avı gibi yapay zeka destekli siber tehditler, insan risk faktörlerini daha fazla dikkate alacak ve kuruluşlar, bunlardan kaynaklanan daha fazla içeriden gelen tehditlerle uğraşmak zorunda kalmayı bekleyebilirler.
Son olarak, sürekli mevcut olan güvenlik becerileri açığını kapatma ve şirket içi güvenlik paketlerini ölçeklendirme ihtiyacının, daha küçük, beceri ve nakit sıkıntısı çeken ekiplerin çözemediği sorunları ortadan kaldırmak için kitle kaynaklı istihbaratın daha geniş çapta benimsenmesine işaret ettiğini söyledi.