المؤسسات التي ليس لديها سياسات الكشف عن الثغرات الأمنية تفشل في معالجة تحذيرات الباحثين الأمنية

كثيرًا ما يبلغ المتسللون الأخلاقيون عن عيوب أمنية خارج VDPs – غالبًا دون جدوى

المؤسسات التي ليس لديها سياسات الكشف عن الثغرات الأمنية تفشل في حل تحذيرات الباحثين الأمنية

يقترح تقرير جديد أن ما يصل إلى ثلث جميع العيوب الأمنية التي تم الإبلاغ عنها للمؤسسات التي ليس لديها سياسة الكشف عن الثغرات الأمنية (VDP) لم يتم تصحيحها بسبب الإخفاقات في عملية الكشف.

في استطلاع أجرته منصة مكافآت الأخطاء Intigriti ومقرها بلجيكا ، يعتقد 12٪ من الباحثين الأمنيين الذين أبلغوا عن نقاط ضعف من خلال قنوات بديلة أن إرسالهم لم يكن ناجحًا في الوصول إلى فرق الأمن ، بينما كان 19٪ غير متأكدين من النتيجة.

يكشف تقرير Ethical Hacker Insights 2021 أن 70٪ من المتسللين الأخلاقيين قد اكتشفوا ثغرة في نظام لا يغطيه VDP.

لا تنس أن تقرأ Bug Bounty Radar // أحدث برامج مكافآت الأخطاء لشهر يونيو 2021

ونظرًا لأن 12٪ من هؤلاء قالوا إنهم لم يصعدوا أو يتابعوا تقريرهم الأولي ، فإن البائعين الذين ليس لديهم برامج VDP يحتمل أن يكونوا غير مدركين لما يصل إلى 44٪ من ثغرات يوم الصفر التي اكتشفها صائدو الأخطاء.

قال الرئيس التنفيذي ومؤسس Intigriti Stijn Jans: “الاستثمار في القرصنة الأخلاقية هو استثمار في سمعة شركتك”.

“يمكن أن يؤدي تشغيل برنامج قرصنة أخلاقي إلى إنقاذ الشركات من المتاعب الأمنية غير الضرورية والمال ، وسيمكنها من العمل عبر الإنترنت بثقة متجددة”.

ضرب وتفوت
بدون وجود برنامج VDP ، يتم توجيه 50٪ من تقارير ثغرات الباحثين عبر قنوات خدمة العملاء ، 36٪ منها فشل في الوصول إلى الفريق الأمني ​​، وفقًا لاستطلاع Intigriti لأكثر من 1000 متسلل أخلاقي من 140 دولة.

“أشار بعض المتسللين إلى أن تقاريرهم قد تم إغلاقها كرسائل غير مرغوب فيها أو تم التعامل معها على أنها تصيد احتيالي – وكلاء خدمة العملاء ليسوا مدربين على التعامل مع تقارير الثغرات الأمنية وسيواجهون صعوبة في تصعيدها إلى الشخص المناسب” ، قال Inti De Ceukelaire ، رئيس المتسللين في Intigriti ، يخبر The Daily Swig.

حاول 15٪ آخرين تخمين عنوان البريد الإلكتروني لفريق الأمان ، بينما أرسل 14٪ النتائج التي توصلوا إليها عبر وسائل التواصل الاجتماعي.

مخاطر الإفصاح العام
على الرغم من أن الإفصاح العلني هو الطريقة الأكثر نجاحًا من حيث تنبيه فريق أمان البائع إلى مشكلة أمنية ، فمن المحتمل أيضًا أن يعرض هذا الكشف الحساس النتائج التي توصلوا إليها إلى المتسللين الضارين.

بالإضافة إلى ذلك ، في حين أن 6٪ فقط من المستجيبين اختاروا الإفصاح العام ، فإن تقارير الثغرات من هذا النوع لا تزال لديها فرصة واحد من كل ثلاثة (31٪) للفشل في الوصول إلى الفرق الأمنية للمنظمات المستهدفة.

يقول De Ceukelaire: “لقد ثبت أن الإفصاح العام هو الطريقة الأكثر فاعلية لجذب الانتباه ، لكنه بعيد عن أن يكون مثاليًا للشركة المتضررة وسلامة مستخدميها”. “جهات الاتصال المباشرة ، على سبيل المثال من خلال LinkedIn أو صندوق بريد مخصص للأمان ، هي الأكثر نجاحًا ، حيث ينتهي بهم الأمر مع الشخص المناسب على الفور.”

تابع آخر أخبار مكافأة الشوائب

الوسيط الأقل نجاحًا هو إرسال التقارير من خلال خدمات الجهات الخارجية مثل فرق الاستجابة للطوارئ على الكمبيوتر (CERTs) – فشلت 44٪ من هذه الأساليب في الوصول إلى الفريق المناسب.

يقول De Ceukelaire: “كلما قل عدد نقاط الاتصال التي يحتاج إليها تقرير الضعف ، كان ذلك أفضل”. “حالات الطرف الثالث مثل CERT غارقة في تقارير الثغرات الخارجية وقد لا يكون لها سياق العمل لتقييم مدى خطورة التقرير بشكل صحيح.

“قد يمثل الوصول إلى الشخص أو الفريق المناسب أيضًا تحديًا بالنسبة لهم ، لا سيما بالنسبة للمؤسسات الأكبر – لأن بعض فرق المنتجات لن تتحمل الملكية أو المسؤولية لإعادة توجيه تقارير الثغرات الأمنية للفرق الأخرى داخل نفس المؤسسة.”

شاب وحريصة على التعلم
الغالبية العظمى من المتسللين الأخلاقيين – 95٪ – هم من الذكور ، وكذلك المواطنين الرقميين ، مع 51٪ تتراوح أعمارهم بين 18-24 عامًا و 13٪ فقط فوق سن 34 ، وفقًا لتقرير Intigriti’s Ethical Hacker Insights.

يكسب معظمهم (80٪) دخلهم الأساسي في وظائف تكنولوجيا المعلومات مثل اختبار الاختراق (43٪) ومحلل الأمن (27٪) ومطور البرامج (6٪). ما يقرب من 20٪ ممن تم استطلاع آرائهم حصلوا على شهادة واحدة على الأقل من شهادات CEH أو OSCP أو OSWE infosec.

كان المال ثاني أكثر الحافز شيوعًا للقرصنة الأخلاقية – حافزًا مهمًا لـ 63٪ فقط – مع تعلم مهارات جديدة أكبر دافع منفرد ، استشهد به 70٪.

عندما طُلب منهم اختيار أهم ثلاثة متغيرات لاختيار الأهداف ، اختار المتسللون في أغلب الأحيان نطاقًا واسعًا (68٪) ، يليه نطاق “جديد” (43٪) ، ووعد بالتعامل مع فريق فرز سريع الاستجابة (42٪).

كانت تطبيقات الويب هي التقنية الأكثر شيوعًا للبحث ، تليها الهواتف المحمولة ، والشبكات ، وتحليل الكود الثابت ، ثم التصيد / الهندسة الاجتماعية.

بينما يُنظر إلى القرصنة عمومًا على أنها مسعى فردي ، قال 91٪ من الباحثين إنهم إما تعاونوا مع أقرانهم عند البحث عن الأخطاء (30)

٪) أو يودون القيام بذلك في المستقبل (61٪).

انتفاخ الحشرات
كشفت Intigriti أيضًا أن 71٪ من برامج مكافآت الأخطاء تتلقى تقريرًا عن خطأ “مرتفع” أو “خطير” في غضون 48 ساعة من الإطلاق ، و 37 تقرير خطأ صالح في غضون أسبوع.

قال أحد صائدي الحشرات لـ Intigriti: “أعتقد أن أسرع اكتشاف ثغرة حرجة كان في غضون 10 ثوانٍ – وكان ذلك لشركة معروفة تمامًا قامت بالفعل باختبار اختراق.”