Kripto ve blockchain organizasyonlarını diğer sektörlerden ayıran üç faktör var; saldırı yüzeyleri, en yaygın güvenlik açıkları ve hata ödülü ödüllerine harcadıkları miktar.
- Geçerli güvenlik açıkları: Kripto ve blockchain kuruluşları için geçerli güvenlik açıklarının toplam sayısı, sektörler arası ortalamayla karşılaştırıldığında önemli ölçüde arttı, ancak yüksek ve kritik önemdeki güvenlik açıklarının sayısı azaldı.
- En yaygın güvenlik açıkları: En yaygın güvenlik açıkları çoğu endüstri için oldukça tutarlı olsa da, web3’ün en yaygın güvenlik açığı (iş mantığı hataları) diğer tüm endüstriler için en düşük güvenlik açıklarından biridir.
- Ödül harcaması: Kripto ve blockchain kuruluşlarının tüm önem düzeylerinde ödül harcaması, sektörler arası ortalamanın çok üzerindedir.
Kripto ve blockchain organizasyonlarını en çok hangi güvenlik açıkları rahatsız ediyor? Bu şirketler neden ödül ödüllerinde diğer endüstrilerden önemli ölçüde daha fazla ödeme yapıyor? Web3 kuruluşları varlıklarını güvence altına almak için güvenlik araştırmacılarıyla nasıl etkileşime geçiyor? Verileri analiz edelim.
Kripto ve Blockchain Kuruluşları Kaç tane Güvenlik Açığı Raporu Alıyor?
Güvenliğe yapılan yatırımlara ve endüstrinin, yazılım geliştirme yaşam döngüsünün (SDLC) başlarında daha iyi güvenlik uygulamalarına yönelik çağrılarına rağmen, güvenlik açığı raporlarında yıldan yıla istikrarlı bir artış görüyoruz. HackerOne Platformundaki geçerli güvenlik açıkları geçen yıl sektörler arasında %12 oranında artış gösterse de, Kripto ve blockchainde %147 artış.
Ancak konu yüksek ve kritik öneme sahip raporlara geldiğinde, kripto ve blockchain düşüş eğiliminde: Sektördeki güvenlik açıklarının %24’ü, 2023’e göre %35 düşüşle yüksek veya kritik olarak derecelendirildi.
Web3’teki yüksek önem derecesine sahip raporlardaki genel düşüş, muhtemelen web3 programlarına rapor gönderen güvenlik araştırmacılarının sayısındaki artış (%67’ye kadar) ile ilgilidir; Kripto kuruluşları, araştırmacı topluluğuyla daha iyi etkileşim kurmak için büyük bir çaba gösterdi ve daha fazla araştırmacı, düşük sonuçlar için daha fazla rapor anlamına geliyor. Kripto ve blockchain alanındaki kuruluşlar, eğilimleri belirleyerek ve hataları geliştirme aşamasında erken yakalamak için önlemler alarak güvenlik açığı raporlarını azaltmak için çaba gösterirken, daha fazla kuruluş güvenlik testlerine yatırım yaptıkça güvenlik açığı raporlarının artmaya devam etmesini bekliyoruz.
Web3’ün En Yaygın Güvenlik Açığı: İş Mantığı Hatası
Çoğu sektörde, siteler arası komut dosyası çalıştırma gibi en yaygın güvenlik açıklarının tekrar tekrar rapor edildiği görülüyor; ancak kripto ve blockchainde durum böyle değil. En önemli aykırılıklardan biri, sektörler arası ortalamayla karşılaştırıldığında iş mantığı hatalarının yüksek oranıdır. İş mantığı hataları, sektörlerdeki raporların yalnızca %2’sini oluştururken, web3 raporlarının %10’unu oluşturur. Sektörler genelinde iş mantığı hatalarına yapılan ortalama ödül harcaması yalnızca %4’tür, ancak web3 kuruluşları ödül bütçelerinin %45’ini bu güvenlik açıklarına harcıyor.
Neden? Kripto ve blockchain kuruluşlarının karmaşık, deneysel iş modelleri ve karmaşık işlem mekanizmaları nedeniyle uç durumlara veya istenmeyen kullanımlara karşı güvenlik sağlamak zordur.
Örneğin akıllı sözleşmeler inanılmaz derecede karmaşıktır; blockchain üzerinde çalışırlar, otomatik olarak yürütülürler ve herkes tarafından görülebilirler. Bir kez konuşlandırıldıktan sonra değişmezler; bu da herhangi bir kusur veya mantık hatasının düzeltilmesinin zor olduğu anlamına gelir. Bu güvenlik açıkları mali kayba yol açabilir ve bu da onları böcek ödül avcılarının ana hedefi haline getirebilir.
“İnsanlar akıllı bir sözleşmede gerçekleşen her etkileşimi görebilir. İş mantığı sorunlarına yönelik saldırı yüzeyini büyük ölçüde artıran çok fazla karmaşıklığa sahipler.”
Dane Şerretleri
Personel Yenilikleri Mimarı, Gelişen Teknolojiler, HackerOne
Kripto ve Blockchain Kuruluşları Bir Hata İçin Ne Kadar Ödüyor?
Web3 kuruluşları için ortalama ödül ödemeleri geçen yıl önemli ölçüde arttı ve 2024’te ortalama yaklaşık 70.000 dolara ulaştı. Kripto para birimi ve blockchain için ödül ödüllerinin diğer tüm sektörlere göre büyük farkı, bu kuruluşlar içindeki risk altındaki para miktarıyla doğrudan ilgilidir. . Yüz milyonlarca dolar söz konusu olduğunda, sistemlerinizin güvenliğini sağlamak için dünyanın en iyi araştırmacılarını teşvik etmeniz gerekir ve kripto para birimi kuruluşları bunu sektörler arası ortalamanın %182 üzerinde ödül ödeyerek yapıyor.
“Eğer 100 milyon dolarınız risk altındaysa, dünyanın en iyi araştırmacılarını bunu güvence altına almaya teşvik etmek istersiniz. Eğer ben 100 milyon doları çalmamı sağlayacak hataları bulabilecek bir güvenlik araştırmacısıysam, bu güvenlik açığını bildirmek için yalnızca 5.000 dolar teklif etmek tehlikeli olur.”
Dane Şerretleri
Personel Yenilikleri Mimarı, Gelişen Teknolojiler, HackerOne
Ödüller genellikle yüksek ve kritik önemdeki güvenlik açığı kategorisinde daha da rekabetçidir. Kripto ve blockchain kuruluşlarındaki yüksek ve kritik güvenlik açıklarının ortalama ödülü 133.700 dolar; bu, sektörler arası ortalamanın %190 üzerinde.
Bu endüstrilerde çok fazla hassas verinin risk altında olduğu göz önüne alındığında, en ciddi bulgular için rekabetçi ödüller hayati önem taşıyor. Yüksek ve kritik güvenlik açıkları bu sektördeki kuruluşların raporlarının %24’ünü oluşturuyor.
Kripto ve Blockchain Kuruluşları İçin Ödül Bütçesi Önerileri
- Bütçeniz için paydaşlarınızın ve yönetim kurulu üyelerinizin önceliklerine hitap eden güçlü bir iş gerekçesi hazırlayın. Güvenlik açısından en dirençli kuruluşların ödül bütçeleri için finansal durumu nasıl oluşturduklarını görmek için Hacker Destekli Güvenlik Raporunun tamamının Başarıyı Ölçme bölümüne göz atın. hafifletme getirisi (ROM) yaklaşımı.
- Varlık türüne göre ağırlıklandırılan ödül ödülleriyle kademeli ödül yaklaşımını benimseyin. Ödül ödülü miktarları, en kritik varlıklarınızın yanı sıra daha benzersiz bir beceri seti gerektirebilecek varlıklar üzerinde test yapılmasını teşvik edecek şekilde ayarlanabilir.
- Halihazırda ortalamanın üzerinde ödüller ödeyen kripto para birimi ve blockchain kuruluşları için, en iyi araştırmacıları çekmek amacıyla etki beyanlarına odaklanın. Spesifik olun: “A, B veya C sonuçlarına yol açabilecek güvenlik açıkları için X $ ödüyoruz.” Örneğin Crypto.com, genellikle “Aşırı” önem derecesine sahip raporları, “Crypto.com’un veya kullanıcılarımızın anında 1 milyon doların üzerinde fon kaybına yol açabilecek veya müşteri kişisel bilgilerini toplu olarak kaybedebilecek” güvenlik açıkları olarak sınıflandırır.
Kripto ve blockchain güvenliğinin incelikleri hakkında daha fazla bilgi edinmek ve kuruluşunuzun sektördeki benzerleriyle nasıl karşılaştırıldığını görmek ister misiniz? Daha fazla web3 verisi, araştırmacı içgörüsü ve müşteri tavsiyesi için 8. Yıllık Hacker Destekli Güvenlik Raporu: Teknoloji Sürümü’nü indirin.