Programas de divulgación de vulnerabilidades Consulte Inscripciones y …



Se pagaron más de $ 44,75 millones en recompensas a los piratas informáticos durante el año pasado, lo que elevó los pagos totales más allá de los $ 100 millones.

Los investigadores de seguridad han estado ocupados durante el último año, ganando más de 44,75 millones de dólares en recompensas por la divulgación de vulnerabilidades. Más organizaciones están adoptando programas de divulgación de vulnerabilidades (VDP), dicen los expertos, y están pagando más a los piratas informáticos por las fallas críticas que encuentran.

HackerOne publicó hoy su cuarto Informe anual de seguridad impulsado por piratas informáticos, que analiza más de cerca las tendencias en los VDP y las empresas que los adoptan. Los piratas informáticos han descubierto más de 180.000 vulnerabilidades a través de HackerOne, y un tercio de ellas se informaron solo el año pasado, ya que más empresas buscan VDP para proteger mejor todas las partes de su entorno.

Los datos indican que más organizaciones de todas las industrias están interesadas en lanzar estos programas. Los VDP son más comunes en software program de computadora, así como en Web y servicios en línea, que en conjunto representan casi la mitad de todos los programas y pagaron más del 72% de todas las recompensas el año pasado. Ahora, los expertos ven múltiples industrias con más del 200% de crecimiento del programa año tras año: components de computadora (250%), bienes de consumo (243%), educación (200%) y atención médica (200%).

«Todas son industrias que dependen cada vez más de la tecnología», dice Alex Rice, cofundador y director de tecnología de HackerOne. Si bien todos habían demostrado un crecimiento de VDP en el pasado, esta es la primera vez que los investigadores han visto este nivel de crecimiento de más del 200% en todos los sectores.

¿Qué está impulsando el aumento? Rice dice que el aumento de los VDP se puede atribuir en gran medida a dos factores clave: la normalización de los VDP y un aumento en los mandatos de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional y el Instituto Nacional de Estándares y Tecnología (NIST).

«Creo que las normas han ido cambiando lentamente en los últimos años», dice Rice. «Hubo un largo período de tiempo en el que las organizaciones podían salirse con la suya simplemente ignorando los informes, amenazando con cartas de cese y desistimiento, sobreviviendo en silencio». Por lo common, esto period suficiente para hacer que los investigadores retrocedieran, pero «eso ha cambiado mucho». Ahora, aquellos que tienen una mala experiencia de divulgación, o ven que alguien ignora un informe de seguridad, se sienten más cómodos al presentarse.

«Está comenzando a ser visto como negligencia, y creo que así es exactamente como debe verse», dice sobre las organizaciones que se niegan a actuar sobre las vulnerabilidades reportadas.

A fines del año pasado, CISA publicó una directiva operativa vinculante que obliga a la mayoría de las agencias del poder ejecutivo a crear un programa de divulgación de vulnerabilidades. Tras recibir comentarios, CISA publicó recientemente la versión last de DBO 20-01, en el que dice que los VDPS son «un elemento esencial de un programa de gestión de vulnerabilidades empresarial eficaz y elementary para la seguridad de los sistemas de información federales accesibles por World wide web».

El aumento de los programas de vulnerabilidad está fomentando una mayor participación de la comunidad de hackers. Gran parte del aumento de participación está relacionado con los programas que se están iniciando, especialmente en industrias donde los investigadores de seguridad ya están activos o interesados.

«La mayor fuente de atraer nuevos piratas informáticos a estos programas son las marcas que a esos piratas informáticos les encanta sancionar esta actividad», dice Rice.

Empresas remotas repensan la estrategia de VDP
Las empresas que brindan soporte a un mayor número de empleados remotos han comenzado a repensar sus VDP y hacer que franjas más amplias de su infraestructura corporativa estén disponibles para probar, dice Rice. Y más piratas informáticos están interesados: HackerOne vio que las nuevas suscripciones de piratas informáticos aumentaron un 59% y los informes de errores enviados aumentaron un 28% en los meses inmediatamente posteriores al inicio de la pandemia de coronavirus.

«Lo más interesante que sucedió en los últimos meses fue que los programas han sido muy deliberados sobre lo que está dentro del alcance», explica. Muchos han comenzado a expandirse e incluyen superficies de ataque que no se habrían incluido en el pasado. Aquellos que abrieron escenarios de trabajo desde casa o ataques remotos han aprendido los errores que cometieron al realizar la transición rápidamente.

Históricamente, la mayoría de los VDP han centrado los incentivos en los activos de cara al cliente y la superficie de ataque. Los primeros esfuerzos querían proteger a los clientes y usuarios ahí es donde se concentraron sus esfuerzos. Ahora, sienten curiosidad por los agujeros en los sistemas o aplicaciones de terceros destinados a los empleados. Muchos programas se han expandido para incluir sistemas de soporte empresarial again-conclusion.

Si bien se trata de una «evolución pure» de los VDP, generalmente las empresas tardan mucho en llegar a esta etapa, dice Rice. Antes de COVID-19, solo un puñado de clientes de HackerOne, como Fb y Twitter, incluían la infraestructura VPN en el alcance de sus políticas de VDP.

«No estaba ni cerca de la norma, y ​​eso se convirtió rápidamente en la norma en los últimos meses», continúa. «Las organizaciones reconocen que su superficie de ataque está evolucionando … Lo que antes pensaban que era su perímetro no es exactamente el perímetro».

Este cambio se refleja en los tipos más comunes de vulnerabilidades reveladas el año pasado, informa HackerOne. El cross-web page scripting (24%) fue la falla más común reportada, ocupando el primer lugar de la divulgación de información (18%), que cayó en segundo lugar. Otras fallas reportadas incluyen regulate de acceso inadecuado (10%), autenticación incorrecta (6%) y redireccionamiento abierto (6%).

Las vulnerabilidades de control de acceso inadecuado han aumentado en volumen y criticidad, dice Rice, y las organizaciones las están tratando con mayor urgencia. Además, están actualizando las instrucciones para que los piratas informáticos de la comunidad comuniquen los riesgos que les preocupan actualmente.

Kelly Sheridan es la editora de individual de Dim Reading, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic