道德黑客经常报告VDP之外的安全缺陷 - 通常无效
最多有三分之一的安全缺陷报告给没有脆弱性披露政策一份新报告建议,(VDP)没有由于披露过程中的失败而被修补。
被投票比利时-基于错误赏金平台Intigriti,有12%的安全研究人员通过替代渠道报告漏洞的安全研究人员认为,他们的提交未能成功接触安全团队,而有19%的人不确定结果。
这道德黑客见解报告2021揭示了70%的道德黑客在不涵盖的VDP覆盖的系统中发现了一个脆弱性。
不要忘记阅读bug赏金雷达// 2021年6月的最新漏洞赏金计划
而且,由于其中12%的人说他们没有升级或跟进他们的初步报告,因此没有VDP的供应商可能不知道多达44%零日错误猎人检测到的漏洞。
Intigriti首席执行官兼创始人Stijn Jans表示:“投资于道德黑客正在投资您公司的声誉。”
“运行道德黑客计划可以为公司节省不必要的安全头痛和金钱,并将使他们能够以新的信心在线运营。”
命中和错过
根据Intigriti对来自140个国家 /地区的1000多个道德黑客的调查,没有使用VDP的情况下,有50%的研究人员的脆弱性报告是通过客户服务渠道路由的,其中36%未能到达安全团队。
“一些黑客表示,他们的报告被关闭为垃圾邮件或被视为网络钓鱼 - 客户服务人员没有接受培训以处理脆弱性报告,并且很难将其升级为合适的人。”在Intigriti,告诉每日swbeplay2018官网ig。
另有15%的人试图猜测安全团队的电子邮件地址,而14%的人通过社交媒体发送了他们的发现。
公开披露的危险
尽管公众披露被认为是提醒供应商的安全团队到安全问题的最成功方法,但这也可能将其敏感发现暴露于恶意黑客。
此外,虽然只有6%的受访者选择了公开披露,但有关这种性质的脆弱性报告仍有三分之一(31%)的机会未能触及目标组织的安全团队。
De Ceukelaire说:“公开披露已证明是被关注的最有效方法,但对受影响的公司及其用户的安全而言是理想的选择。”“直接联系,例如通过LinkedIn或专用的安全收件箱,最终是最成功的,因为它们立即与合适的人在一起。”
最不成功的媒介是通过第三方服务(例如计算机紧急响应团队(CERT))发送报告 - 其中44%的方法未能到达适当的团队。
De Ceukelaire说:“接触点越少,漏洞报告就需要通过越好。”“诸如证书之类的第三方实例被外部漏洞报告所淹没,并且可能没有业务环境来正确评估报告的严重性。
“与合适的人或团队联系也可能是他们的挑战,尤其是对于大型组织而言 - 因为某些产品团队不会承担所有权或责任来转发同一组织中其他团队的脆弱性报告。”
年轻而渴望学习
绝大多数道德黑客(95%)是男性,也是数字本地人根据Intigriti最新的道德黑客见解报告,有51%的年龄在18-24岁之间,只有34岁的年龄在34岁之间。
大多数(80%)在IT角色中赚取其主要收入,例如穿透测试仪(43%),安全分析师(27%)和软件开发人员(6%)。被调查的人中,近20%至少具有CEH,OSCP或OSWE INFOSEC认证之一。
金钱是道德黑客攻击的第二大动机 - 仅为63%的重要动机 - 学习新技能是最大的单一动机,引用了70%。
被要求选择选择目标的三个最重要的变量,黑客最常选择广泛的范围(68%),其次是“新鲜”范围(43%),并承诺与响应式分类团队打交道(42%)。
beplay体育能用吗Web应用程序是最受欢迎的技术,其次是移动的,网络,静态代码分析,然后是网络钓鱼/社会工程。
虽然黑客通常被视为独奏努力,但有91%的研究人员表示,他们要么在狩猎虫子狩猎时与同行合作(30%),要么希望将来这样做(61%)。
Bug Bonanza
Intigriti还透露,有71%的错误赏金计划在发布后48小时内收到了“高”或“关键”严重性错误的报告,一周内收到了37个有效的错误报告。
一位Bug Hunter告诉Intigriti:“我认为我最快的关键脆弱性是在10秒钟之内 - 对于已经进行了渗透测试的著名公司而言。”
Inti de Ceukelaire将免费beplay体育能用吗网络研讨会6月22日讨论该报告。
