0
0
Hackers relataram mais de 66.000 vulnerabilidades válidas este ano – mais de 20% a mais do que 2020 – com pentests movidos a hackers vendo um aumento de 264% nas vulnerabilidades relatadas, anunciou HackerOne.
A transformação digital liderada pela pandemia e a migração para a nuvem continuam a criar vulnerabilidades à medida que as superfícies de ataque se expandem e os serviços são terceirizados.
O relatório deste ano revelou que os preços das recompensas para vulnerabilidades altas e críticas estão aumentando à medida que as organizações priorizam bugs de alto impacto. As empresas também estão corrigindo vulnerabilidades mais rápido do que nunca, à medida que o gerenciamento de vulnerabilidades se torna cada vez mais uma prioridade de negócios principal.
“Mesmo as organizações mais conservadoras estão reconhecendo o poder do ponto de vista de fora”, disse Chris Evans, CISO e Diretor de Hacking da HackerOne.
“Continuamos a ver um alto crescimento no setor de serviços financeiros, por exemplo. Medir e quantificar o risco é o negócio deles, e eles estão vendo que tanto o risco quanto o resultado comercial são melhores se abraçarem hackers. Em geral, estamos vendo os clientes usando dados de relatório de vulnerabilidade para informar seus ciclos de vida de desenvolvimento de software.
“As organizações estão pegando problemas mais cedo e corrigindo-os, a um custo muito reduzido, concentrando-se em melhorias na educação do desenvolvedor, integrações de código-fonte e estruturas de desenvolvimento.”
O estado dos programas de segurança movidos a hackers
- A adoção de programas de segurança movidos a hackers está crescendo em todos os setores, com um aumento de 34% no total de programas de clientes em 2021.
- As indústrias tradicionalmente conservadoras de serviços financeiros e governo continuam liderando na adoção de programas de testes de segurança movidos a hackers, com um aumento de 62% nos programas de serviços financeiros e um aumento de 89% nos programas governamentais, liderados este ano pelo Ministério da Defesa do Reino Unido e pela agência GovTech de Cingapura.
- Hackers relataram 21% mais vulnerabilidades em 2021 do que 2020. Enquanto a recompensa tradicional de bugs viu um aumento de 10% nos relatórios de vulnerabilidade válidos, os Programas de Divulgação de Vulnerabilidades (VDPs) tiveram um aumento de 47%, e os relatórios de pentests movidos a hackers aumentaram 264%.
- O preço médio de um bug crítico subiu 20% de US$ 2.500 em 2020 para US$ 3.000 em 2021. O preço médio de recompensas para um bug crítico aumentou 13% e 30% para um bug com classificação de alta gravidade.
- No ano passado, o tempo mediano de resolução em todo o setor caiu 19% de 33 dias para 26,7 dias, com alguns setores, como varejo e comércio eletrônico, vendo o tempo de remediação caindo mais de 50%.
- O bug número um mais descoberto continua sendo Cross Site Scripting, mas outras categorias de bugs viram um aumento significativo nos relatórios desde 2020. A Divulgação de Informações viu um aumento de 58% nos relatórios válidos e os Erros de Lógica de Negócios tiveram um aumento de 67%, dando-lhes um lugar no Top 10 pela primeira vez.
FONTE: HELPNET SECURITY