信息來(lái)源:安全內(nèi)參
Bugcrowd 2021年“Priority One”報(bào)告
2020年9月,美國(guó)各政府機(jī)構(gòu)收到指令制定漏洞披露政策。此后,漏洞報(bào)告激增:2021年前三季度,聯(lián)邦部門有效漏洞提交數(shù)量增加1000%。
過(guò)去兩年來(lái),安全研究人員花費(fèi)更多時(shí)間遠(yuǎn)程工作,分配給研究活動(dòng)的時(shí)間也隨之增加。在2022年1月下旬發(fā)布的年度“Priority One”報(bào)告中,Bugcrowd報(bào)告稱,美國(guó)政府部門已得益于這一趨勢(shì),加之美國(guó)國(guó)土安全部(DHS)第20-01號(hào)約束性操作指令(Binding Operational Directive 20-01)的授權(quán),2021年研究人員提交的漏洞報(bào)告明顯多于上一年。
Bugcrowd創(chuàng)始人兼首席技術(shù)官Casey Ellis表示,指令的反響起初很小,但在2021年猛然加速,暴露出政府機(jī)構(gòu)的巨大攻擊面,以及其基礎(chǔ)設(shè)施中仍舊沒(méi)怎么經(jīng)受測(cè)試的地方。
“我不認(rèn)為政府在漏洞管理方面存在什么特殊的困難。那些歷經(jīng)有機(jī)增長(zhǎng)和無(wú)機(jī)增長(zhǎng)的老牌公司,他們首先發(fā)現(xiàn)的就是自己不知道自家東西都在哪里,而政府也不例外。所有這些因素疊加就促成了這高達(dá)10倍的漏洞報(bào)告數(shù)量增長(zhǎng)——我們現(xiàn)在研究的就是如此巨大的攻擊面?!?
面對(duì)這一問(wèn)題的不單單只有政府部門一家。Bugcrowd的報(bào)告顯示,金融行業(yè)漏洞報(bào)告數(shù)量幾乎翻番,2021年前三季度的有效漏洞報(bào)告增長(zhǎng)了82%。總體上看,Bugcrowd和其他漏洞賞金計(jì)劃,以及獨(dú)立的企業(yè)漏洞賞金,都見(jiàn)證了賞金隨時(shí)間推移而增加,并且研究人員的關(guān)注重點(diǎn)也逐漸轉(zhuǎn)向了最關(guān)鍵的漏洞。
Bugcrowd還看出了漏洞研究中的從眾心理。在公開(kāi)漏洞披露之后,黑客往往扎堆攻克同一類安全問(wèn)題。例如,Log4j漏洞披露就引發(fā)了針對(duì)類似問(wèn)題的平臺(tái)測(cè)試井噴,由此帶來(lái)超過(guò)1200份報(bào)告,其中至少500份是報(bào)給該公司客戶的有效漏洞提交。轉(zhuǎn)而聚焦這一最新重大漏洞為某位研究人員贏得了9萬(wàn)美元的獎(jiǎng)勵(lì)。
Ellis稱:“這種關(guān)注重點(diǎn)轉(zhuǎn)移就好像所有人都在后院聚會(huì)上等人加入一樣。我們看到太多視線聚焦到關(guān)鍵的遠(yuǎn)程訪問(wèn)問(wèn)題上了?!?
優(yōu)先級(jí)為1級(jí)和2級(jí)的問(wèn)題,也就是Bugcrowd漏洞分類中列為關(guān)鍵和高嚴(yán)重性的那些漏洞,占了所有報(bào)告漏洞的24%??缯灸_本和訪問(wèn)控制失效仍舊是研究人員發(fā)現(xiàn)的主要漏洞類型,但敏感數(shù)據(jù)暴露在最常見(jiàn)漏洞排行榜上從2020年的第九位上升到了第三位。
所有行業(yè)的漏洞賞金支出都在增長(zhǎng)。金融服務(wù)行業(yè)向發(fā)現(xiàn)漏洞的研究人員支付的獎(jiǎng)金增長(zhǎng)了一倍多(106%),而軟件公司2021年付出的漏洞賞金比上一年多出了73%。
能夠掙來(lái)賞金的漏洞未必是新漏洞:各家公司都在尋找任何未修復(fù)的漏洞,即使這些漏洞并不算新。Bugcrowd在報(bào)告中稱,從很多方面看,所謂的“N日”漏洞已經(jīng)變得比零日漏洞更為重要。
比如,Log4j漏洞就也算是長(zhǎng)尾安全漏洞,攻擊者未來(lái)也將繼續(xù)利用這個(gè)漏洞。Ellis表示,Log4j安全咨詢觸發(fā)了大量白帽子和黑帽子黑客活動(dòng)。
他聲稱:“在眾人的認(rèn)知中,高端攻擊者向來(lái)與域外隱秘漏洞利用掛鉤,但我認(rèn)為,情況明顯不再總是這樣了。作為攻擊者,無(wú)論你是否官方,你都得證明自己付出的代價(jià)是值得的。在免費(fèi)下載同樣有用的情況下,為什么要燒幾百萬(wàn)美元去搞個(gè)零日漏洞呢?”
新研究對(duì)黑客興趣點(diǎn)的影響,以及其在研究社區(qū)引發(fā)的勢(shì)頭,都值得分析,這樣我們才能找出未來(lái)最有可能被發(fā)現(xiàn)和利用的漏洞類型。
“研究人員和黑客社區(qū)確實(shí)有群體思維——他們互相借鑒,只要嗅到哪里散發(fā)著成功的氣息,就鉚足了勁涌入這個(gè)領(lǐng)域展開(kāi)新的研究。這不過(guò)是理性的經(jīng)濟(jì)學(xué)。他們的目標(biāo)是發(fā)現(xiàn)獨(dú)特的漏洞,然后以之賺錢?!?
Bugcrowd 2021年“Priority One”報(bào)告:
https://www.bugcrowd.com/press-release/bugcrowd-reports-185-increase-in-high-risk-vulnerabilities-within-financial-sector/