信息來源:安全內(nèi)參
Bugcrowd 2021年“Priority One”報(bào)告
2020年9月,美國各政府機(jī)構(gòu)收到指令制定漏洞披露政策。此后,漏洞報(bào)告激增:2021年前三季度,聯(lián)邦部門有效漏洞提交數(shù)量增加1000%。
過去兩年來,安全研究人員花費(fèi)更多時(shí)間遠(yuǎn)程工作,分配給研究活動的時(shí)間也隨之增加。在2022年1月下旬發(fā)布的年度“Priority One”報(bào)告中,Bugcrowd報(bào)告稱,美國政府部門已得益于這一趨勢,加之美國國土安全部(DHS)第20-01號約束性操作指令(Binding Operational Directive 20-01)的授權(quán),2021年研究人員提交的漏洞報(bào)告明顯多于上一年。
Bugcrowd創(chuàng)始人兼首席技術(shù)官Casey Ellis表示,指令的反響起初很小,但在2021年猛然加速,暴露出政府機(jī)構(gòu)的巨大攻擊面,以及其基礎(chǔ)設(shè)施中仍舊沒怎么經(jīng)受測試的地方。
“我不認(rèn)為政府在漏洞管理方面存在什么特殊的困難。那些歷經(jīng)有機(jī)增長和無機(jī)增長的老牌公司,他們首先發(fā)現(xiàn)的就是自己不知道自家東西都在哪里,而政府也不例外。所有這些因素疊加就促成了這高達(dá)10倍的漏洞報(bào)告數(shù)量增長——我們現(xiàn)在研究的就是如此巨大的攻擊面?!?
面對這一問題的不單單只有政府部門一家。Bugcrowd的報(bào)告顯示,金融行業(yè)漏洞報(bào)告數(shù)量幾乎翻番,2021年前三季度的有效漏洞報(bào)告增長了82%。總體上看,Bugcrowd和其他漏洞賞金計(jì)劃,以及獨(dú)立的企業(yè)漏洞賞金,都見證了賞金隨時(shí)間推移而增加,并且研究人員的關(guān)注重點(diǎn)也逐漸轉(zhuǎn)向了最關(guān)鍵的漏洞。
Bugcrowd還看出了漏洞研究中的從眾心理。在公開漏洞披露之后,黑客往往扎堆攻克同一類安全問題。例如,Log4j漏洞披露就引發(fā)了針對類似問題的平臺測試井噴,由此帶來超過1200份報(bào)告,其中至少500份是報(bào)給該公司客戶的有效漏洞提交。轉(zhuǎn)而聚焦這一最新重大漏洞為某位研究人員贏得了9萬美元的獎勵(lì)。
Ellis稱:“這種關(guān)注重點(diǎn)轉(zhuǎn)移就好像所有人都在后院聚會上等人加入一樣。我們看到太多視線聚焦到關(guān)鍵的遠(yuǎn)程訪問問題上了?!?
優(yōu)先級為1級和2級的問題,也就是Bugcrowd漏洞分類中列為關(guān)鍵和高嚴(yán)重性的那些漏洞,占了所有報(bào)告漏洞的24%??缯灸_本和訪問控制失效仍舊是研究人員發(fā)現(xiàn)的主要漏洞類型,但敏感數(shù)據(jù)暴露在最常見漏洞排行榜上從2020年的第九位上升到了第三位。
所有行業(yè)的漏洞賞金支出都在增長。金融服務(wù)行業(yè)向發(fā)現(xiàn)漏洞的研究人員支付的獎金增長了一倍多(106%),而軟件公司2021年付出的漏洞賞金比上一年多出了73%。
能夠掙來賞金的漏洞未必是新漏洞:各家公司都在尋找任何未修復(fù)的漏洞,即使這些漏洞并不算新。Bugcrowd在報(bào)告中稱,從很多方面看,所謂的“N日”漏洞已經(jīng)變得比零日漏洞更為重要。
比如,Log4j漏洞就也算是長尾安全漏洞,攻擊者未來也將繼續(xù)利用這個(gè)漏洞。Ellis表示,Log4j安全咨詢觸發(fā)了大量白帽子和黑帽子黑客活動。
他聲稱:“在眾人的認(rèn)知中,高端攻擊者向來與域外隱秘漏洞利用掛鉤,但我認(rèn)為,情況明顯不再總是這樣了。作為攻擊者,無論你是否官方,你都得證明自己付出的代價(jià)是值得的。在免費(fèi)下載同樣有用的情況下,為什么要燒幾百萬美元去搞個(gè)零日漏洞呢?”
新研究對黑客興趣點(diǎn)的影響,以及其在研究社區(qū)引發(fā)的勢頭,都值得分析,這樣我們才能找出未來最有可能被發(fā)現(xiàn)和利用的漏洞類型。
“研究人員和黑客社區(qū)確實(shí)有群體思維——他們互相借鑒,只要嗅到哪里散發(fā)著成功的氣息,就鉚足了勁涌入這個(gè)領(lǐng)域展開新的研究。這不過是理性的經(jīng)濟(jì)學(xué)。他們的目標(biāo)是發(fā)現(xiàn)獨(dú)特的漏洞,然后以之賺錢。”
Bugcrowd 2021年“Priority One”報(bào)告:
https://www.bugcrowd.com/press-release/bugcrowd-reports-185-increase-in-high-risk-vulnerabilities-within-financial-sector/