マルチソリューションのクラウドソーシング サイバー セキュリティ プラットフォームである Bugcrowd は、倫理的なハッカーが社内のセキュリティ チームに対してその価値を何度も証明し続けるため、2023 年には主流のエンドユーザー組織の間でクラウドソーシングのセキュリティ戦略の受け入れと採用が増えるだろうと述べています。
同団体は今週、最新の年次報告書を発表した。 プラットフォーム内 このレポートでは、同社が公開範囲を主張していた過去 12 か月間で、脆弱性報奨金プログラム (VRP)、別名バグ報奨金プログラムに対するクラウドソーシング アプローチでは、従来のアプローチよりも 10 倍多くの重大な問題が発見されたことを明らかにしました。
2023 年には、政府および公共部門の顧客がオプションとしてクラウドソーシングによる倫理的ハッキングを最も熱心に取り入れており、全体的な脆弱性の提出が 151% 増加し、重大な欠陥が 56% 増加したことがわかりました。
小売部門に関連する申請は 34% 増加し、企業サービス部門は 20%、コンピュータ ソフトウェア部門は 12% 増加しました。
全体として、Bugcrowd の倫理的ハッキング コミュニティは、Web 脆弱性の提出が 30% 増加、アプリケーション プログラミング インターフェイス (API) の脆弱性の提出が 18% 増加、Android の脆弱性の提出が 21% 増加、iOS の脆弱性の提出が 17% 増加を記録しました。 すべてのデータは、2022 年との前年比を表しています。
「業界として、私たちはまさに多くの変化の瀬戸際に立たされており、このレポートの目的は、セキュリティのリーダーと実践者に同様に、これらの変化に備えるために必要な傾向情報、データ、専門家の予測を提供することです」と書いています。 Bugcrowd CISO Nick McKenzie がレポートの前文で述べた。
「過去 12 か月間の脆弱性データを活用したこのレポートは、リスク プロファイルを強化するための新しい情報を探しているセキュリティ リーダーに重要なコンテキスト、洞察、機会を提供します。」
Bugcrowd の最新レポートで浮き彫りになった主要な傾向のいくつかを概説しながら、マッケンジー氏は次のように続けました。 企業がビジネス プロセスに追加している生成 AI などの新しいテクノロジを含む、急速なデジタル化の全体的な増加と、多くの新機能を備えた製品の増加が組み合わされると、最終的にバグが指数関数的に増加することは避けられません。
「このレポートから特に示唆に富んだもう 1 つの洞察は、民間のプログラムよりも公共のクラウドソーシングによるセキュリティ プログラムを好む傾向が高まっていることです。 より多くのプログラムがクラッチを下ろし、ギアを「公開」にシフトしています。」
誰が一番お金を払いますか?
侵入テストだけで生計を立てることが可能なのかどうか疑問に思っている倫理的ハッカーのために、Bugcrowd レポートには、2023 年にコミュニティが受け取った報酬の規模に関する最新データも含まれています。
Bugcrowd のマトリックスで優先度 1 と評価されている最も影響力のある脆弱性の場合、ハッカーは、基本的な資格情報によるアクセスとハッカーの制限がないテストされていないアプリの脆弱性に対して、3,500 ドルから 4,500 ドル (2,750 ポンドから 3,500 ポンド) の範囲で開始することが予想されます。
さらに規模を拡大すると、以前クラウドソーシング プログラムに含まれていた十分にテストされたアプリ、適度にテストされた API とアプリ、および推定される脆弱になる可能性のあるシック クライアント/バイナリおよび/または組み込みデバイス。
ハイエンドの P1 脆弱性の場合、強化された機密性の高いアプリ、API、および中程度から高度に安全なシック クライアント/バイナリおよび/または強化された組み込みデバイスの脆弱性については、11,000 ドルから 20,000 ドル (8,600 ポンドから 15,700 ポンド) の費用がかかると予想されます。
セクター別の支払額は大幅に異なり、レポートにはこれに関するより詳細なデータが含まれているが、Bugcrowdのデータでは暗号通貨業界が特に高収入の業界として際立っており、P1の欠陥が頻繁に5万ドル(3万9300ポンド)を超える報奨金を集めている。
バグクラウド氏は、ハッカーが受け取る報酬の規模は今後も拡大していく可能性が高いと述べた。とりわけインフレの影響で、2018年の1ポンドは現在の約1.23ポンドの価値に相当するが、市場における競争圧力の高まりも影響している。 実際、同社は最近、競合他社と歩調を合わせるために、提案される報酬範囲を引き上げました。
AIは倫理的なハッカーの必要性を証明する
マッケンジー氏は、2024 年の残りの期間を見据えて、Bugcrowd が今後も倫理的なハッカーと VRP の価値を証明すると信じている 3 つのトレンドを強調しました。
これらの傾向の 1 つ目と 2 つ目は、両方とも、脅威アクター間での敵対的人工知能 (AI) の牽引力の増加によってある程度推進されるでしょう。
まず、組織はより優れた洞察に投資する必要があり、特にサプライチェーンのセキュリティ、サードパーティのリスク、在庫管理に関連する分野で、適用範囲と継続的保証が増加します。
2 番目の例では、スピアフィッシングなどの AI によって強化されたサイバー脅威により、人的リスク要因がより考慮されるようになり、組織はこれらから生じるより多くの内部関係者の脅威に対処する必要があることが予想されます。
最後に同氏は、常に存在するセキュリティスキルのギャップに対抗し、社内のセキュリティチームを拡大する必要があることから、スキルや資金に余裕のない小規模なチームでは解決できない問題を排除するために、クラウドソーシングによるインテリジェンスの導入を拡大する必要があると述べた。