聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
报告主要关注以下方面:
1. 不与黑客合作的风险越来越大
2. 黑客发现并报送漏洞的动力
3. 黑客社区技能集的多样性
4. 黑客如何看待AI安全
5. 组织机构面临的最大安全风险
6. 如何推动黑客获得最佳成果
7. 漏洞的预期价格
8. 不止漏洞奖励
9. 行业漏洞概况
10. 漏洞修复和成功测量
不与黑客合作的风险越来越大
报告提到,网络犯罪活动日益增多而首席信息安全官可用的人力资源和预算却在减少。在这一背景下,如果忽视黑客社区资源,则面临的风险更高。96%的HackerOne 客户表明通过第三方提交的漏洞报告,能够更好地对抗网络攻击;70%的客户表示黑客投入助力他们避免重大安全事件。
相比以往的年度报告,2023年的报告增加了客户视角以及世界顶级黑客的观点。报告将更加全面地解读十大漏洞以及不同行业对于黑客的激励措施。
报告将说明:
黑客如何使用AI以及关于AI安全风险的看法
如何吸引顶级黑客参与漏洞奖励计划
所在行业与十大漏洞数据对比情况,以及不同漏洞奖励计划为何带来不同结果
如何通过将代码安全审计和渗透测试集成到漏洞奖励战略,节约成本
最新漏洞奖励计划数据以及与同行漏洞奖励计划的对比情况
黑客发现并报送漏洞的动力
报告指出,仅有四分之一的黑客在全职挖洞,近三分之二的黑客每周挖洞时间少于20小时,近三分之一的黑客在网络安全行业工作。
黑客固然在寻求丰厚报酬,但不仅受金钱驱动。调查显示,80%的黑客挖洞是为了钱(2022年这一比例为71%),78%的黑客表示挖洞是为了学习,47%的黑客表示是以保护和防御企业和终端用户安全。
黑客关注的行业
互联网和网络服务是黑客的首要选择,58%的黑客会关注这一领域。该行业支付的奖励金最多,在HackerOne 平台占据主导地位,在所有客户漏洞奖励计划中占据25%。
金融服务是增长行业,53%的黑客会投入该行业的漏洞奖励计划,而在2022年该比例为44%。
政府行业吸引了40%的黑客,2022年这一比例为33%。
而密币和区块链在前几年增长后,今年获得的关注变少,从2022年的22%下降到16%。
零售和电商平台仍然流行,会吸引48%的黑客,不过相比2022%的54%仍然有所下降。
黑客社区技能集的多样性
黑客的技能集多种多样。虽然95%的黑客的专长主要集中在 web 应用测试,但也涉足多种新型技术。47%的黑客专注于网络应用测试,20%的黑客具有社工经验,63%的黑客从事漏洞研究。39%的黑客表示最擅长侦查,而20%表示在利用方面最得心应手。
图:黑客技能集
说到黑客专攻的技术和应用领域,网站仍然独占鳌头。98%的黑客表示专攻网站,17%表示专攻iOS 应用(2022年为15%),43%专攻安卓应用(2022年为39%)。8%的黑客专注于物联网技术,而随着去年生成式AI的大爆发,7%的黑客表示现在主攻这些工具,而区块链下降至6%(2022年为8%)。
图:黑客主攻方向
黑客如何看待AI安全
目前,安全管理者们正在试图了解如何利用生成式AI阻止内在安全问题和威胁,而道德黑客们已经从2022年开始成长为该领域的专家:
生成式AI已成为14%的黑客的“重要工具”,53%的黑客正在以某种方式使用它。
66%的黑客使用或者计划使用生成式AI编写更好的漏洞报告,53%的黑客将使用生成式AI编写代码,33%的黑客用它来降低语言门槛。
55%的黑客认为生成式AI本身将在未来几年内成为重要攻击目标,61%的黑客表示计划使用并开发黑客工具以找到更多漏洞。62%的黑客表示计划专注于“OWASP 十大大语言模型”。
提到生成式AI带来的风险,28%的黑客最关注对该工具的恶意利用,22%关注虚假消息,18%关注不安全代码的增多。
虽然38%的黑客认为生成式AI将减少代码中的漏洞数量,43%认为将导致漏洞数量的增多。
组织机构面临的最大安全风险
当问到客户认为他们最大的风险来自何处时,57%的人表示最大威胁是已遭利用的漏洞,10%是国家黑客组织,22%表示是钓鱼攻击,12%表示是内部威胁。
图:客户眼中的最大风险
而面对同样的问题,32%黑客表示最大的响应需求是缺乏自有技能和专业,而91%的客户表示相比AI或扫描解决方案,黑客提供的漏洞报告更具影响力且更有价值。
图:黑客眼中的最大风险
如何推动黑客获得最佳成果
如何吸引更多黑客参与漏洞奖励计划?73%的黑客表示漏洞赏金是主要动力,50%的黑客认为目标含有很多漏洞的预期是参加计划的动力,46%的黑客认为推动因素是计划范围较广泛,17%的黑客会因为与组织机构安全团队的良好关系而选择参加计划。
何种漏洞奖励计划会让黑客敬而远之?一切都和体验有关;沟通不畅赶走55%的黑客,相应缓慢赶走60%的黑客,仅有9%的黑客表示保密协议是他们拒绝参与的原因,仅有14%的黑客会因为被要求不能公开漏洞而出走。这些比例较2022年都有所下降。
图:黑客选择参与某个漏洞奖励计划的原因
图:让黑客敬而远之的原因
漏洞的预期价格
HackerOne 平台上一个漏洞的中位数赏金是500美元,比2022年增长100美元;90%的漏洞奖励计划提供3000美元的赏金,比2022年增长了500美元。汽车行业是平台新秀,赏金数额增长最快。全行业的平均赏金是1000美元,而90%的赏金集中在3000美元。
图:全行业的赏金平均数、中位数和90%数
如果按漏洞严重程度划分,则会发现加密和区块链行业支付的赏金仍然最多,最高赏金超过10万美元(100050美元),计算机软件和软件与在线服务在最严重漏洞奖励方面仍然非常具有竞争力。由于安全成熟行业收到的高危和严重漏洞更少,因此更加慷慨。报送给互联网和在线服务组织机构的26%的漏洞是高危和严重级别,而在加密和区块链组织机构中这一比例仅为22%。
目前已有29名黑客在HackerOne平台上获得超过100万美元的赏金。
不止漏洞奖励
道德黑客可为客户在软件开发生命周期 (SDLC) 的多个阶段提供支持,而开发阶段是组织机构引入漏洞最多的阶段。
通过代码安全审计最容易发现的漏洞是:
设计缺陷和逻辑错误
不安全的编码实践
隐藏的后门和恶意代码
敏感数据泄露
加密漏洞
应用和基础设施即代码配置不当
不安全的依赖
敏感数据泄露
在产品交付前发现漏洞能节约大量成本。数据显示,通过漏洞奖励计划找到这些漏洞的成本是29437美元,而40小时的代码安全审计成本仅为11400美元。
通过渗透测试即服务 (PTaaS) 找到的十大漏洞是:
配置不当
XSS
信息泄露
访问控制不当—通用
使用含有已知漏洞的组件
不安全的直接对象引用
加密
会话有效期短
违反安全设计原则
利用配置不当的SSL/TLS
漏洞奖励计划中找到的十大漏洞是:
XSS
访问控制不当
信息泄露
不安全的直接对象引用
提权
配置不当
认证不当—通用
业务逻辑错误
开放重定向
授权不当
行业漏洞概况
根据平台收到的横跨所有产品的十大漏洞以及每种漏洞类型所获得的漏洞报告比例,之后与行业交叉验证,获得根据行业划分的漏洞报告类型与平台收到的一般漏洞报告类型之间的对比情况。
图:按行业划分的漏洞类型情况
图:按行业划分的高危和严重漏洞类型情况
漏洞修复和成功的度量方式
在报告期间内,漏洞修复需要的时间从2022年的35.5天减少到25.5天。汽车、媒体和娱乐以及政府客户的改进提升最多,自2022年起提升至少50%。
关于如何衡量漏洞奖励计划成功与否,客户(比例表示客户占比)的答案是:
71%:安全事件或数据泄露情况消失
59%:因安全计划而节省的与名誉或客户相关的预期成本
54%:规避风险的预期经济成本
51%:风险评估(内部或外部)
32%:安全团队响应性的敏捷性和速度
7%:获得的网络保险折扣
报告在结论部分提到,道德黑客的用例将持续扩展和保持多样化,从保护生成式AI应用到从SDLC中更早发现漏洞等不一而足。与道德黑客合作将获益于前沿研究和技术、局外人思维和人才资源。这种合作伙伴关系意味着组织机构将比网络犯罪分子更快一步,并随着漏洞的发现和修复更快速,能更专注于构建新的且更安全的产品。
HackerOne 发布2021年《黑客驱动安全报告:行业洞察》
https://www.hackerone.com/press-release/hackers-surpass-300-million-all-time-earnings-hackerone-platform
题图:Pixabay License
文内图:HackerOne
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh