12月7日,HackerOne发布了《2021年黑客驱动力安全报告》(Hacker-Powered Security Report INDUSTRY INSIGHTS 21)。报告显示,HackerOne漏洞赏金平台旗下黑客今年已发现 66,547个有效漏洞,而由黑客驱动的渗透测试检测到 2021 年报告的漏洞比 2020 年增加了 264%。此外,漏洞披露计划检测到的漏洞增加了 47%。
报告称,收录漏洞激增的部分原因是越来越多的企业开始启动了黑客驱动的安全测试项目。例如,金融服务项目增加了 62%,政府项目增加了 89%,其中包括英国国防部发起的漏洞赏金挑战。
HackerOne表示,另一个因素是疫情期间数字化转型和云迁移带来的攻击面扩大。
与 2020 年一样,最常见的漏洞是XSS跨站点脚本。但是,业务逻辑错误信息披露代码注入 (58%) 和业务逻辑错误 (67%) 的报告显着增加。在报告的所有漏洞中,26% 是严重漏洞,36% 为中等严重性,34% 为低严重性。
值得注意的是,所有行业的漏洞修复时间中位数下降了 19%,从 2020 年的 33 天下降到 2021 年的 26.7 天。在此期间,零售和电子商务的修复时间甚至下降了 50% 以上。
据该报告统计数据显示,截至目前HackerOne已向平台黑客们发出了共计 36,925,156美元的漏洞赏金。在2020年一个关键漏洞的中位价约为2500美元,而在2021年则上涨至3000美元,中危和低危漏洞的价格正在下降。这表现出了两级分化的趋势,企业希望雇佣更高级别的安全研究人员来发现更严重的安全漏洞,并愿意为之支付更贵的酬金。
HackerOne 的首席信息安全官兼首席黑客官克里斯埃文斯评论说:“领先的CISO和安全团队都正在利用黑客社区的技能和专业知识作为其整体安全测试策略的核心组成部分,即使是最保守的企业也开始认识到外部黑客的力量和价值。”
“例如,我们继续看到金融服务行业的高速增长。衡量和量化风险是他们的工作,他们发现如果他们接受黑客提供的安全检测服务,那么风险和业务都会更安全和可控。总的来说,我们看到客户使用漏洞报告数据来加强他们在软件开发生命周期的安全建设,他们正在通过提升开发人员安全意识、改进源代码集成和开发框架,更早地发现问题并修复它们,并以大大降低的成本。”
京公网安备 11010802033237号
