Buluta geçişin ve uzaktan çalışmaya geçişin etkisi yeni raporda açıkça görülüyor
Yeni bir rapora göre, böcek ödül avcıları, kuruluşlar “dijital dönüşüm” geçirirken bulut tabanlı güvenlik açıklarını giderek daha fazla ortaya çıkarıyor.
Araştırmacılar, bug bounty platformu HackerOne aracılığıyla 2022’de yıllık %21 artışla 65.000’den fazla yazılım güvenlik açığını ortaya çıkardı.
HackerOne’ın bugün (13 Aralık) yayınlanan 2022 Hacker-Powered Security Raporunda ortaya çıkan artış, geçen yılki baskıda kaydedilen yüzde artışıyla tam olarak aynı.
Hatalı yapılandırmalar artıyor
Şimdi altıncı bölümünde yer alan rapor, dijital dönüşümün saldırı yüzeyleri üzerindeki devam eden etkisini de araştırıyor.
Buluta geçiş ve uzaktan çalışmaya geçiş, kuruluşların her zamankinden daha ayrıntılı izinler oluşturduğunu gördü; bu eğilim, artan yanlış yapılandırma güvenlik açıklarına (yüzde 150’ye yükseldi) ve uygunsuz yetkilendirme sorunlarına (yüzde 45’e) yansıdı.
Web uygulamaları, bilgisayar korsanlarının %95’inin web sitelerine öncelik vermesiyle, manzaraya hakim olmaya devam ediyor. Sonraki en popüler hedefler API’ler (%45), Android mobil uygulamaları (%38), bulut platformları (%24) ve açık kaynaktır (%24).
ÖNERİLEN Bug Bounty Radarı // Aralık 2022 için en son bug ödül programları
Bu arada, bug bounty programları yürüten şirketler, yavaş yanıt sürelerinin (%51), sınırlı kapsamların (%50) ve zayıf iletişimin (%49) bir programla etkileşime geçme konusunda en önemli caydırıcı unsurlar olduğunu not etmelidir.
Eylül ve Ekim 2022 arasında 5.000 bilgisayar korsanıyla anket yapan HackerOne, böcek avcılarının %38’inin kurum içi uzmanlığı kuruluşların karşı karşıya olduğu en büyük siber güvenlik sorunu olarak gösterdiğini de tespit etti. Bu bulgu, büyüyen saldırı yüzeylerinin iç içe geçmiş eğilimlerini ve siber güvenlik becerileri açığını yansıtıyor.
yardımcı programların faydası
Etik hackerlar tarafından kullanılan en popüler hackleme araçları Burp Suite (%87), fuzzing yardımcı programları (%47) ve web proxy’leri veya tarayıcılardır (%38). Üçte biri (%34) kendi araçlarını bile yapıyor.
Yine de, rapora göre araçların %92’si tarayıcılar tarafından gözden kaçan güvenlik açıklarını bulmak için kendilerini destekliyor ve araçlar genellikle keşif için yararlı oluyor.
ABD’li bilgisayar korsanı Jon Colston, HackerOne’a “Çabalarımı odaklayacağım fırsatları bulmak için keşif akışımda otomatik araçlar kullanıyorum” dedi.
“Hızlı bir galibiyet anında bildirim gönderebilse de, eğilimleri analiz etmek için çeşitli veri havuzlarından mümkün olduğunca fazla bilgi toplamakla daha çok ilgileniyorum.
“Özellikle, bir kuruluşun daha gelişmiş saldırılar için kullanabileceğim belirli dosyaları veya belgeleri muhtemelen nerede depolayacağını belirliyorum. Bir amaçla keşif yapmak, manzaranın daha iyi bir resmini geliştirmeme ve hedef listemi 5000’den 500’e hızla daraltmama yardımcı oluyor.”
İLİŞKİLİ Milyon dolarlık böcek ödülleri: Rekor kıran ödemelerdeki artış
Yedi rakamlı ödemeler giderek yaygınlaşsa da, HackerOne, ortalama ve medyan ödül fiyatlarının, ortalama ödemelerin %315 arttığı kripto para birimi ve blok zinciri dünyası dışında, belirgin bir şekilde artmadığını bildiriyor.
Böcek avcılığı yalnızca seçilmiş birkaç kişiyi milyoner yaparken, %41’i bunu başlı başına bir kariyer olarak kabul edecek kadar kazanırken, %25’i serbest meslek istismarlarının maaşlı pozisyonlarında terfi almalarına veya başka bir şekilde kariyerlerinde ilerlemelerine yardımcı olduğuna inanıyor.
Siteler arası betik çalıştırma (XSS), her yıl %32 artan toplam gönderim sayısıyla yine bildirilen en yaygın hata oldu.
KAÇIRMAYIN HackerOne, müşterilerini bilgisayar korsanlarını yasal sorunlardan korumak için standart bir politika benimsemeye teşvik ediyor