منصة الأمن السيبراني متعددة الحلول التعهيد الجماعي حشرة تقول إنها شهدت قبولًا متزايدًا واعتمادًا لاستراتيجيات الأمان التعهيد الجماعي بين مؤسسات المستخدم النهائي الرئيسية في عام 2023، حيث يواصل المتسللون الأخلاقيون إثبات قيمتهم لفرق الأمن الداخلية مرارًا وتكرارًا.
ونشرت المنظمة هذا الأسبوع أحدث تقاريرها السنوية داخل المنصة تقرير، يكشف أنه في الأشهر الـ 12 الماضية، التي ادعت فيها نطاقها المفتوح، نهج التعهيد الجماعي لـ برامج مكافآت الضعف (VRPs)، المعروفة أيضًا باسم برامج مكافأة الأخطاء، وجدت مشكلات أكثر أهمية بعشر مرات من الأساليب التقليدية.
وفي عام 2023، وجدت أن العملاء في القطاعات الحكومية والقطاع العام كانوا الأكثر حرصًا على تبني القرصنة الأخلاقية الجماعية كخيار، مع زيادة بنسبة 151% في إجمالي طلبات الثغرات الأمنية، وزيادة بنسبة 56% في العيوب الخطيرة.
وارتفعت الطلبات المتعلقة بقطاع التجزئة بنسبة 34%، وقطاع خدمات الشركات 20%، وقطاع برمجيات الكمبيوتر 12%.
بشكل عام، سجل مجتمع القرصنة الأخلاقية في Bugcrowd زيادة بنسبة 30% في عمليات إرسال ثغرات الويب، وزيادة بنسبة 18% في عمليات إرسال ثغرات واجهة برمجة التطبيقات (API)، وزيادة بنسبة 21% في عمليات إرسال ثغرات Android، وزيادة بنسبة 17% في عمليات إرسال ثغرات iOS. تمثل جميع البيانات مقارنة سنوية بعام 2022.
“كصناعة، نحن حقًا على شفا العديد من التغييرات، والهدف من هذا التقرير هو تسليح قادة الأمن والممارسين على حد سواء بالمعلومات والبيانات وتوقعات الخبراء اللازمة للاستعداد لهذه التغييرات،” كتب. Bugcrowd CISO Nick McKenzie في ديباجة التقرير.
“من خلال الاستفادة من بيانات الثغرات الأمنية من الأشهر الـ 12 الماضية، يقدم هذا التقرير سياقًا بالغ الأهمية ورؤى وفرصًا لقادة الأمن الذين يبحثون عن معلومات جديدة لتعزيز ملفات تعريف المخاطر الخاصة بهم.”
وفي معرض توضيحه لبعض الاتجاهات الرئيسية التي تم تسليط الضوء عليها في تقرير Bugcrowd الأخير، تابع ماكنزي: “طوال عملية البحث، لم أتفاجأ عندما وجدت أن نقاط الضعف لا تزال في ارتفاع. عندما تجمع بين الزيادة الإجمالية في الرقمنة السريعة – بما في ذلك التقنيات الجديدة التي تضيفها الشركات إلى العمليات التجارية مثل الذكاء الاصطناعي التوليدي – مع المزيد من المنتجات التي تتميز بالعديد من الميزات الجديدة، فمن المحتم أن ينتهي بك الأمر إلى زيادة هائلة في الأخطاء.
“هناك رؤية أخرى من التقرير وجدتها معبرة بشكل خاص وهي زيادة الاتجاه نحو تفضيل برامج الأمن العامة ذات التعهيد الجماعي على البرامج الخاصة. المزيد من البرامج تتخلى عن القابض وتحول معداتها إلى “عامة”.
من يدفع أكثر؟
بالنسبة للمتسللين الأخلاقيين الذين قد يتساءلون عما إذا كان من الممكن كسب لقمة العيش من اختبار القلم وحده، فإن تقرير Bugcrowd يحتوي أيضًا على بيانات جديدة حول حجم المدفوعات التي تلقاها مجتمعه في عام 2023.
بالنسبة للثغرات الأمنية الأكثر تأثيرًا – المصنفة كأولوية 1 في مصفوفة Bugcrowd – يمكن للمتسللين أن يتوقعوا البدء في مكان ما في نطاق يتراوح بين 3500 دولار إلى 4500 دولار (2750 جنيهًا إسترلينيًا إلى 3500 جنيه إسترليني) بحثًا عن ثغرة أمنية في تطبيق لم يتم اختباره مع وصول أساسي معتمد ولا توجد قيود على المتسللين.
وبالارتقاء بالمقياس، يمكن أن يتوقع المتسللون دفع مبالغ تتراوح بين 5500 دولار إلى 7500 دولار (4300 جنيه إسترليني إلى 5900 جنيه إسترليني) مقابل وجود ثغرة أمنية في تطبيق تم اختباره جيدًا والذي كان جزءًا من برنامج التعهيد الجماعي من قبل، وواجهات برمجة تطبيقات وتطبيقات تم اختبارها بشكل معتدل، ويفترض – أن تكون عرضة للخطر العملاء/الثنائيات و/أو الأجهزة المضمنة.
بالنسبة لثغرات P1 المتطورة، يمكنهم توقع رؤية ما بين 11000 دولار إلى 20000 دولار (8600 جنيه إسترليني إلى 15700 جنيه إسترليني) للثغرات الأمنية في التطبيقات المعززة والحساسة، وواجهات برمجة التطبيقات والعملاء/الثنائيات الكثيفة المتوسطة إلى العالية الأمان و/أو الأجهزة المدمجة المقواة.
تتراوح المدفوعات حسب القطاع بشكل كبير، ويحتوي التقرير على بيانات أكثر تفصيلاً حول هذا الموضوع، لكن صناعة العملات المشفرة تبرز في بيانات Bugcrowd باعتبارها صناعة ذات رواتب جيدة بشكل خاص، حيث تجتذب عيوب P1 في كثير من الأحيان مكافآت تزيد عن 50000 دولار (39300 جنيه إسترليني).
قال Bugcrowd إنه من المحتمل أن يستمر حجم المكافآت التي يتلقاها المتسللون في النمو – لأسباب ليس أقلها التضخم، حيث تبلغ قيمة الجنيه الاسترليني الواحد في عام 2018 حوالي 1.23 جنيه إسترليني اليوم – ولكن أيضًا بسبب الضغوط التنافسية المتزايدة في السوق. وفي الواقع، فقد قامت مؤخرًا بزيادة نطاقات المكافآت المقترحة لمواكبة منافستها.
يثبت الذكاء الاصطناعي الحاجة إلى المتسللين الأخلاقيين
وبالنظر إلى ما تبقى من عام 2024، سلط ماكنزي الضوء على ثلاثة اتجاهات يعتقد Bugcrowd أنها ستستمر في إثبات قيمة المتسللين الأخلاقيين وVRPs.
سيكون الاتجاهان الأول والثاني من هذه الاتجاهات مدفوعين إلى حد ما بالجذب المتزايد للذكاء الاصطناعي المنافس (AI). بين الجهات التهديدية
في المقام الأول، ستحتاج المؤسسات إلى الاستثمار في رؤى أفضل، وستزداد التغطية والضمان المستمر، لا سيما في المجالات المتعلقة بأمن سلسلة التوريد، ومخاطر الطرف الثالث، وإدارة المخزون.
وفي الحالة الثانية، فإن التهديدات السيبرانية المعززة بالذكاء الاصطناعي مثل التصيد الاحتيالي ستجعل عوامل الخطر البشرية أكثر أهمية، ويمكن للمؤسسات أن تتوقع أن تضطر إلى التعامل مع المزيد من التهديدات الداخلية الناتجة عن هذه التهديدات.
وأخيراً، قال إن الحاجة إلى مواجهة الفجوة الحالية في المهارات الأمنية وتوسيع نطاق الأمن الداخلي تشير إلى اعتماد أوسع للاستخبارات الجماعية للتخلص من المشكلات التي لا تستطيع الفرق الأصغر حجماً والتي تعاني من ضائقة مالية التخلص منها.
