Güvenlik açığı programı yönetim firması HackerOne tarafından hazırlanan bir rapora göre, bağımsız güvenlik açığı araştırması pazarı, 2021’de hata ödüllerinin hacmi üçte birinden fazla arttı ve ödenen toplam ödüllerin yaklaşık 37 milyon dolara yükselmesiyle başladı.
Yalnızca HackerOne’ın programlarından alınan verileri içeren rapor, diğer ödül programlarının yaşadıklarıyla eşleşiyor. Trend Micro’nun uzun süredir devam eden, üçüncü taraf bir hata ödül programı olan Zero Day Initiative’e (ZDI) bu yıl bildirilen güvenlik açıklarının sayısı, 2020’de yayınladığı 1.453 güvenlik açığını aştı. Kitle kaynaklı güvenlik açığı araştırma programlarını yöneten Bugcrowd, Mevcut en son verilere göre, 2020’de başvurularda %50 artış ve öncelikli konularda %65 artış.
HackerOne, “Hacker-Powered Security Report 2021″e göre, müşterilerinin hata ödül programlarında açıkladığı %34 daha fazla güvenlik sorunuyla 2021’de daha fazla güvenlik açığı gördü.
HackerOne CISO ve bilgisayar korsanlığı şefi Chris Evans, “En üst düzeyde, çoğu kuruluş, bu yıl hataları keşfetmeyi ve düzeltmeyi daha büyük bir öncelik haline getirdi – özellikle kritik olarak tanımlanan güvenlik açıkları” diyor. “Bu bana işletmelerin bir sonraki siber saldırı kurbanı olmamalarını sağlamak için süreçlerini iyileştirmeye ve güvenliğe daha fazla yatırım yapmaya odaklandıklarını gösteriyor.”
Daha fazla güvenlik açığı bildirilirken, dikkatler esas olarak en kritik kusurlara kayıyor. Kritik hataların ifşası için ortalama ödeme, 2020’de 2.500 dolardan 3.000 dolara yükseldi, ancak düşük ve orta önemdeki kusurlar için ödüller durgunlaştı. HackerOne raporu. Düşük önem dereceli sorunlar ortalama 150 ABD doları ödül alırken, orta önem dereceli güvenlik açıkları 2020’de 450 ABD dolarından ortalama 500 ABD dolarına yükseldi.
Daha fazla araştırmacı daha fazla programa kaydoldukça, daha kritik güvenlik açıklarına odaklanmaya doğru bir kayma meydana geliyor. Bugcrowd’un kurucusu ve baş teknoloji sorumlusu Casey Ellis, bilgisayar korsanlarının yaklaşık dörtte üçünün uzaktan çalışmaya geçiş nedeniyle araştırma için daha fazla zamana sahip olduğunu, 10 etik bilgisayar korsanından sekizinin pandemiden önce hiç görmedikleri bir güvenlik açığı tespit ettiğini söylüyor.
“Bu, pandemi nedeniyle giderek daha fazla dağıtılan bir uzak iş gücü genelinde saldırı yüzeyini korumanın artan zorluğuna işaret ediyor” diyor. “Fakat aynı zamanda birçok etik hacker’ın akranlarının çalışmalarını takip etmesi ve başarılarını paylaşarak ve onları tekrarlayarak diğer bilgisayar korsanlarının problem çözme yaklaşımlarını taklit etmesi doğasını vurgular.”
%1 Sorunu Devam Ediyor
Daha kritik güvenlik açıklarına yapılan vurgu, muhtemelen az sayıda rekabet gücü yüksek ve teknik araştırmacıyı destekleyecektir. Az sayıda araştırmacının kârdan aslan payını alması, güvenlik açığı programlarıyla ilgili bilinen bir sorundur. Trend Micro’nun ZDI iletişim yöneticisi Dustin Childs, aslında, tipik olarak iki rekabetçi katılımcı grubu olduğunu söylüyor: kritik güvenlik açıklarını araştıranlar ve çok sayıda düşük ve orta düzeyde sorun bulanlar.
“Bir kamp çok sayıda düşük gelirli dava açarken, diğer kamp sadece birkaç yüksek dolarlık dava açtı” diyor. “Bir veya iki araştırmacının başvurulara hakim olduğu görünse de, ödemeler birçok farklı insan arasında nispeten eşitti.”
Ayrıca HackerOne’dan Evans, program sayısındaki artışın yeni araştırmacılar için daha fazla fırsat yarattığını söylüyor.
“Ancak, HackerOne platformundan ortaya çıkan harika, yeni yetenekleri görmeye devam ediyoruz” diyor. “Bilgisayar korsanları için daha fazla kaynak kullanılabilir hale geldikçe, bir kariyer olarak bilgisayar korsanlığının meşrulaşmaya devam ettiğini ve kuruluşların bilgisayar korsanlarının getirdiği değeri fark ettiğini ve bu boşluğun kapanacağını tahmin ediyorum.”
Baskın Güvenlik Açığı Sınıfları Kalıyor
HackerOne raporuna göre, siteler arası komut dosyası çalıştırma (XSS), bilgi ifşası ve uygunsuz erişim denetimi en üst sıralarda yer alan uygunsuz erişim kontrolü ile 2020 ile 2021 arasında en iyi üç güvenlik açığı sınıfı değişmedi. Bununla birlikte, ifşaatlarda en büyük artışa sahip güvenlik açıkları, rapor edilen sayının %67 oranında arttığı iş mantığı hatalarıdır. Bilgi ifşası güvenlik açıkları %58 arttı ve ayrıcalık yükseltme kusurları %55 arttı.
ZDI ayrıca araştırmacıların sunuculara, işletim sistemlerine ve altyapı araçlarına daha fazla ilgi gösterdiğini belirtti.
Her şirket büyük bir artış görmedi. Şirket neredeyse aynı tutarı ödediği için Microsoft’un programı vadeye ulaşmış olabilir – 2021’de 13,6 milyon dolar e karşı 2020’de 13,7 milyon dolar — yaklaşık olarak aynı sayıda güvenlik açığı raporu için — 2021’de 1.261’e karşı 2020’de 1.226. Kasım ayında, yazılım geliştirme platformu GitLab, hataları bulmak zorlaştıkça katılımı artırmanın bir yolu olarak ödül fiyatlarını %50 ila %75 artırdı.
Güvenlik açıklarını araştıran saatler, bilgisayar korsanlarının gelir elde etmesi için iyi bir yol mu? Her üç bug-ödül programı, özellikle Hindistan gibi – BugCrowd’un bilgisayar korsanlığının en büyük kaynağı olan – veya ikinci bir konser olarak evet olduğunu savunuyor. Bugcrowd’un programlarının yaklaşık %80’i Amerika Birleşik Devletleri kaynaklı olsa da, Hindistan’dan gelen bilgisayar korsanları gelirlerin yaklaşık üçte birini ve ABD bilgisayar korsanları %22’sini talep ediyor. BugCrowd’un “2021 Bir Hacker’ın Zihninde” bildiri.
Küresel salgının yarattığı değişiklikler, işletmelerin bilgisayar korsanlarıyla çalışma olasılığını da artırdı ve yarı zamanlı bilgisayar korsanlarına araştırma için daha fazla fırsat verdi. Rapora göre, ankete katılan hata bulucuların yüzde yetmiş biri, uzaktan çalışma daha fazla kabul edildiğinden daha fazla para kazandı.
Bugcrowd’dan Ellis, “Bug-ödül programları, hayatın her kesiminden bilgisayar odaklı birçok kişi için uygulanabilir, kendi kendini yöneten bir kariyer seçeneği haline geldi” diyor. “Etik bilgisayar korsanları, bu saldırıların arkasındaki güçlü güçlere meydan okumaya devam edecek ve şirketlerin dijital varlıklarını ve yazılım geliştirme yaşam döngülerini geleneksel güvenlik yaklaşımlarından daha fazla verimlilikle sürekli olarak güvence altına almalarını sağlayacak.”