行业新闻

美国漏洞披露政策推动漏洞提交增长十倍

美国漏洞披露政策推动漏洞提交增长十倍

Bugcrowd 2021年“Priority One”报告

2020年9月,美国各政府机构收到指令制定漏洞披露政策。此后,漏洞报告激增:2021年前三季度,联邦部门有效漏洞提交数量增加1000%。

过去两年来,安全研究人员花费更多时间远程工作,分配给研究活动的时间也随之增加。在2022年1月下旬发布的年度“Priority One”报告中,Bugcrowd报告称,美国政府部门已得益于这一趋势,加之美国国土安全部(DHS)第20-01号约束性操作指令(Binding Operational Directive 20-01)的授权,2021年研究人员提交的漏洞报告明显多于上一年。

Bugcrowd创始人兼首席技术官Casey Ellis表示,指令的反响起初很小,但在2021年猛然加速,暴露出政府机构的巨大攻击面,以及其基础设施中仍旧没怎么经受测试的地方。

“我不认为政府在漏洞管理方面存在什么特殊的困难。那些历经有机增长和无机增长的老牌公司,他们首先发现的就是自己不知道自家东西都在哪里,而政府也不例外。所有这些因素叠加就促成了这高达10倍的漏洞报告数量增长——我们现在研究的就是如此巨大的攻击面。”

面对这一问题的不单单只有政府部门一家。Bugcrowd的报告显示,金融行业漏洞报告数量几乎翻番,2021年前三季度的有效漏洞报告增长了82%。总体上看,Bugcrowd和其他漏洞赏金计划,以及独立的企业漏洞赏金,都见证了赏金随时间推移而增加,并且研究人员的关注重点也逐渐转向了最关键的漏洞。

Bugcrowd还看出了漏洞研究中的从众心理。在公开漏洞披露之后,黑客往往扎堆攻克同一类安全问题。例如,Log4j漏洞披露就引发了针对类似问题的平台测试井喷,由此带来超过1200份报告,其中至少500份是报给该公司客户的有效漏洞提交。转而聚焦这一最新重大漏洞为某位研究人员赢得了9万美元的奖励。

Ellis称:“这种关注重点转移就好像所有人都在后院聚会上等人加入一样。我们看到太多视线聚焦到关键的远程访问问题上了。”

优先级为1级和2级的问题,也就是Bugcrowd漏洞分类中列为关键和高严重性的那些漏洞,占了所有报告漏洞的24%。跨站脚本和访问控制失效仍旧是研究人员发现的主要漏洞类型,但敏感数据暴露在最常见漏洞排行榜上从2020年的第九位上升到了第三位。

所有行业的漏洞赏金支出都在增长。金融服务行业向发现漏洞的研究人员支付的奖金增长了一倍多(106%),而软件公司2021年付出的漏洞赏金比上一年多出了73%。

能够挣来赏金的漏洞未必是新漏洞:各家公司都在寻找任何未修复的漏洞,即使这些漏洞并不算新。Bugcrowd在报告中称,从很多方面看,所谓的“N日”漏洞已经变得比零日漏洞更为重要。

比如,Log4j漏洞就也算是长尾安全漏洞,攻击者未来也将继续利用这个漏洞。Ellis表示,Log4j安全咨询触发了大量白帽子和黑帽子黑客活动。

他声称:“在众人的认知中,高端攻击者向来与域外隐秘漏洞利用挂钩,但我认为,情况明显不再总是这样了。作为攻击者,无论你是否官方,你都得证明自己付出的代价是值得的。在免费下载同样有用的情况下,为什么要烧几百万美元去搞个零日漏洞呢?”

新研究对黑客兴趣点的影响,以及其在研究社区引发的势头,都值得分析,这样我们才能找出未来最有可能被发现和利用的漏洞类型。

“研究人员和黑客社区确实有群体思维——他们互相借鉴,只要嗅到哪里散发着成功的气息,就铆足了劲涌入这个领域展开新的研究。这不过是理性的经济学。他们的目标是发现独特的漏洞,然后以之赚钱。”

Bugcrowd 2021年“Priority One”报告:

https://www.bugcrowd.com/press-release/bugcrowd-reports-185-increase-in-high-risk-vulnerabilities-within-financial-sector/


关闭