Nền tảng bảo mật mạng đa giải pháp được cung cấp bởi cộng đồng Bugcrowd cho biết họ đã chứng kiến sự chấp nhận và áp dụng ngày càng tăng của các chiến lược bảo mật nhờ nguồn lực cộng đồng trong các tổ chức người dùng cuối chính thống vào năm 2023, khi các tin tặc có đạo đức tiếp tục chứng minh giá trị của họ với các nhóm bảo mật nội bộ nhiều lần.
Tổ chức này tuần này đã công bố thông tin thường niên mới nhất của mình Bên trong nền tảng báo cáo, tiết lộ rằng trong 12 tháng qua, trong đó họ tuyên bố có phạm vi mở, cách tiếp cận dựa trên nguồn lực cộng đồng đối với các chương trình phần thưởng cho lỗ hổng bảo mật (VRP), hay còn gọi là chương trình tiền thưởng lỗi, đã phát hiện ra các vấn đề nghiêm trọng hơn gấp 10 lần so với các phương pháp tiếp cận truyền thống.
Vào năm 2023, họ phát hiện ra rằng các khách hàng trong chính phủ và các ngành dọc trong khu vực công là những người mong muốn sử dụng hoạt động tấn công đạo đức nhờ nguồn lực cộng đồng nhất như một lựa chọn, với tổng số lượt gửi lỗ hổng bảo mật tổng thể tăng 151% và số lỗ hổng nghiêm trọng tăng 56%.
Các đệ trình liên quan đến lĩnh vực bán lẻ đã tăng 34%, lĩnh vực dịch vụ doanh nghiệp tăng 20% và lĩnh vực phần mềm máy tính tăng 12%.
Nhìn chung, cộng đồng hack có đạo đức của Bugcrowd đã ghi nhận số lượt gửi lỗ hổng bảo mật trên web tăng 30%, số lượt gửi lỗ hổng giao diện lập trình ứng dụng (API) tăng 18%, số lượt gửi lỗ hổng Android tăng 21% và số lượt gửi lỗ hổng iOS tăng 17%. Tất cả dữ liệu thể hiện sự so sánh hàng năm với năm 2022.
“Với tư cách là một ngành, chúng tôi thực sự đang đứng trước rất nhiều thay đổi và mục tiêu của báo cáo này là cung cấp cho các nhà lãnh đạo an ninh cũng như những người thực hiện những thông tin, dữ liệu và dự đoán xu hướng cần thiết của chuyên gia để chuẩn bị cho những thay đổi này,” viết. Bugcrowd CISO Nick McKenzie trong lời mở đầu của báo cáo.
“Tận dụng dữ liệu về lỗ hổng bảo mật trong 12 tháng qua, báo cáo này cung cấp bối cảnh quan trọng, thông tin chi tiết và cơ hội cho các nhà lãnh đạo bảo mật đang tìm kiếm thông tin mới để củng cố hồ sơ rủi ro của họ.”
Nêu ra một số xu hướng chính được nêu bật trong báo cáo mới nhất của Bugcrowd, McKenzie tiếp tục: “Trong suốt quá trình nghiên cứu, tôi không ngạc nhiên khi thấy rằng các lỗ hổng vẫn đang gia tăng. Khi bạn kết hợp sự gia tăng tổng thể về tốc độ số hóa nhanh chóng – bao gồm các công nghệ mới mà doanh nghiệp đang bổ sung vào quy trình kinh doanh như AI tổng hợp – với nhiều sản phẩm có nhiều tính năng mới hơn, thì bạn sẽ không thể tránh khỏi việc số lượng lỗi gia tăng theo cấp số nhân.
“Một cái nhìn sâu sắc khác từ báo cáo mà tôi thấy đặc biệt đáng chú ý là xu hướng ngày càng ưa chuộng các chương trình an ninh công được huy động từ cộng đồng hơn là các chương trình tư nhân. Nhiều chương trình hơn đang bỏ ly hợp và chuyển thiết bị của họ sang ‘công khai’.”
Ai trả nhiều nhất?
Đối với những hacker có đạo đức, những người có thể đang thắc mắc liệu có thể kiếm sống chỉ từ việc thử nghiệm bút hay không, báo cáo của Bugcrowd cũng chứa dữ liệu mới về quy mô khoản thanh toán mà cộng đồng của họ nhận được vào năm 2023.
Đối với những lỗ hổng có ảnh hưởng lớn nhất – được xếp hạng Ưu tiên 1 trong ma trận của Bugcrowd – tin tặc có thể bắt đầu từ đâu đó trong khoảng từ 3.500 USD đến 4.500 USD (2.750 USD đến 3.500 bảng Anh) cho một lỗ hổng trong một ứng dụng chưa được kiểm tra với quyền truy cập được chứng nhận cơ bản và không có hạn chế nào của hacker.
Ở quy mô lớn hơn, tin tặc có thể mong đợi nhận được khoản thanh toán từ 5.500 USD đến 7.500 USD (4.300 đến 5.900 bảng Anh) cho một lỗ hổng trong một ứng dụng đã được thử nghiệm kỹ lưỡng, từng là một phần của chương trình huy động nguồn lực cộng đồng trước đây, các API và ứng dụng được thử nghiệm vừa phải và được cho là- các máy khách/nhị phân dày dễ bị tổn thương và/hoặc các thiết bị nhúng.
Đối với các lỗ hổng P1 cao cấp, họ có thể mong đợi mức giá từ 11.000 đến 20.000 USD (8.600 đến 15.700 bảng Anh) cho các lỗ hổng trong các ứng dụng, API cứng và nhạy cảm cũng như các máy khách/nhị phân dày có độ bảo mật từ trung bình đến cao và/hoặc các thiết bị nhúng cứng.
Các khoản thanh toán theo ngành nằm trong phạm vi đáng kể và báo cáo chứa dữ liệu chi tiết hơn nhiều về vấn đề này, nhưng ngành công nghiệp tiền điện tử nổi bật trong dữ liệu của Bugcrowd là ngành được trả lương đặc biệt cao, với các lỗ hổng P1 thường thu hút số tiền thưởng lên tới hơn 50.000 đô la (39.300 bảng Anh).
Bugcrowd cho biết có khả năng quy mô phần thưởng mà tin tặc nhận được sẽ tiếp tục tăng – không chỉ do lạm phát, 1 bảng Anh vào năm 2018 có giá trị khoảng 1,23 bảng Anh ngày nay – mà còn do áp lực cạnh tranh ngày càng tăng trên thị trường. Thật vậy, gần đây nó đã tăng phạm vi phần thưởng được đề xuất để theo kịp sự cạnh tranh của mình.
AI chứng minh sự cần thiết của hacker có đạo đức
Nhìn về thời gian còn lại của năm 2024, McKenzie nhấn mạnh ba xu hướng mà Bugcrowd tin rằng sẽ tiếp tục chứng minh giá trị của các hacker và VRP có đạo đức.
Xu hướng thứ nhất và thứ hai trong số này đều sẽ được thúc đẩy ở một mức độ nào đó bởi sự gia tăng của trí tuệ nhân tạo đối phương (AI) giữa các tác nhân đe dọa.
Trước tiên, các tổ chức sẽ cần đầu tư vào những hiểu biết sâu sắc hơn, mức độ bao phủ và đảm bảo liên tục sẽ tăng lên, đặc biệt là trong các lĩnh vực liên quan đến an ninh chuỗi cung ứng, rủi ro của bên thứ ba và quản lý hàng tồn kho.
Trong trường hợp thứ hai, các mối đe dọa mạng được tăng cường bởi AI như lừa đảo trực tuyến sẽ khiến các yếu tố rủi ro về con người được cân nhắc nhiều hơn và các tổ chức có thể phải đối phó với nhiều mối đe dọa nội bộ hơn do những mối đe dọa nội bộ này gây ra.
Cuối cùng, ông nói, nhu cầu khắc phục khoảng cách kỹ năng bảo mật luôn hiện hữu và mở rộng quy mô các lực lượng bảo mật nội bộ chỉ ra việc áp dụng rộng rãi hơn thông tin tình báo có nguồn lực từ cộng đồng để loại bỏ các vấn đề mà các nhóm nhỏ hơn, có kỹ năng và thiếu tiền mặt không thể làm được.