2024年1月25日
Bugcrowd Inc.
オープンスコープのクラウドソース・セキュリティ・プログラムが10倍以上の重大な脆弱性を発見
~バグクラウドの脆弱性トレンド・レポート「Inside the Platform」'でs Vulnerability Trends Report" セキュリティ脅威とソリューションの詳細を発表~
クラウドソーシングによる唯一のサイバーセキュリティ・プラットフォームを提供するバグクラウド (Bugcrowd Inc. 本社:米カリフォルニア州サンフランシスコ)は本日、毎年恒例の同社の脆弱性トレンドレポート 「Inside the Platform」を発表しました: 本レポートは、世界のハッカーによると、現在増加傾向にある脆弱性提出の種類に焦点を当てています。また、クラウドソーシングによるセキュリティ戦略の認識と受容の高まりに基づき、パブリック・クラウドソーシング・プログラムが着実に採用されていることも報告されています。
2022年と比較して2023年にクラウドソーシング・セキュリティが最も急成長したのは政府産業部門で、脆弱性の提出件数が151%増加し、重要な脆弱性の発見に対する優先度1(P1)の報酬が58%増加しました。その他の業界では、小売業(34%増)、企業向けサービス(20%増)、コンピュータ・ソフトウェア(12%増)など、提出件数が大幅に増加しました。
ハッカーコミュニティは過去1年間で、2022年実績に対して、バグクラウド・プラットフォーム上で作成されたWeb投稿で30%増、API投稿で18%増、Android投稿で21%増、iOS投稿で17%増を記録しました。
バグクラウドの最高情報セキュリティ責任者であるニック・マッケンジー(Nick McKenzie)は、次のように述べています。「このレポートは、リスクプロファイルを強化するための新しい情報を探しているセキュリティリーダーに、重要な背景、有用情報、機会を提供します。このレポートから得られる有用情報は、他の重要な知見と組み合わせることで、次に何が起こるかを予測することができます」
先述のマッケンジーは、2024年には脅威行為者が敵対的AIを使用して企業攻撃を加速させ、防御者を色めきたたせますが、それらは必ずしもスマートな攻撃ではないであろうと予測しています。さらに、この分野での継続的な攻撃を背景に、サプライチェーン・セキュリティ、サードパーティリスク、在庫管理プロセスにおいて、質の高い有用情報、網羅範囲、継続的な保証を得ることが、セキュリティリーダーにとってますます重要な分野になるとしています。ソーシャル・エンジニアリング攻撃の餌食になったり、内部統制を(意図的であれ意図的でないにせよ)迂回したりする悪意のある内部関係者や見当違いの従業員による行動に基づく)(ii)運用面では、「サイバー人材のスキル・ギャップ」に対抗し、セキュリティ・チームの「規模拡大」を支援するために、組織は小規模で多様性に乏しく、予算や人材に乏しいチームではできないような独特な脆弱性やこれまで発見されていなかった脆弱性を継続的に排除するために、人的インテリジェンスのクラウドソーシングが確実にかつより広範に採用されることでしょう。
バグクラウド・プラットフォームは、組織と信頼できるハッカーを結びつけ、先進的な脅威行為者からプロアクティブに資産を守ります。このようにして、組織はハッキング・コミュニティの集合的な創意工夫を解き放ち、アプリケーション、システム、インフラ全体のリスクをより良く発見し、軽減することができます。
クラウドソーシングによるソリューションには、ペネトレーション・テスト・アズ・ア・サービス、マネージド・バグバウンティ、脆弱性開示プログラム(VDP)などがある。当報告書によると、驚くべきことにプラットフォーム上で最も成功したプログラムは、ハッカーに最高額の報酬を提供しており、一般的にP1の脆弱性を発見すると1万ドル以上の報酬が支払われます。P1 脆弱性の提出に対する報酬が最も高いのは、金融サービスと政府部門です。
また、この1年間で、企業は民間よりも公的なクラウドソーシング・プログラムをますます好むようになり、オープンスコープ・プログラムには、スコープが限定されたプログラムよりも10倍多くのP1脆弱性が寄せられました。スコープとは、組織がテストすべき資産として選ばれ、定義化されたターゲット・セットを意味します。オープンスコープのバグ報奨金プログラムでは、組織に属する資産に関して、ハッカーがテストできるもの、できないものに制限はありません。
また、本レポートでは、クラウドソーシング・セキュリティに貢献するハッカーの役割の違いや、クラウドソーシング・セキュリティ・プラットフォームが脆弱性を発見するための強力な警告システムをどのように提供できるかについても検証しています。クラウドソーシング・コミュニティの精神を理解するのに役立ついくつかのサイドバーには、報酬範囲の状況の変化、最も一般的に報告されている脆弱性の上位5種類、およびRapydとClickHouseに焦点を当てた顧客事例に関する項目があります。
●レポート全文の入手方法
今回の「Inside the Platform」レポートでは、何百万もの独自のデータポイントと脆弱性が分析されました。これらのデータポイントは、2023年1月1日から2023年10月31日までの期間、Bugcrowdプラットフォーム上の何千ものプログラム全体から収集されました。
バグクラウドのレポート発行の目的は、セキュリティリーダーがサイバー・トレンドに関する重要な情報を入手し、各組織が直面する固有の課題に適用できるようにすることです。また、インターネットを倫理的ハッキングにとってより安全な場所にするために行われている政策変更と提唱キャンペーンについても概説しています。「Inside the Platform」は、下記URLよりダウンロード可能です。
https://ww1.bugcrowd.com/inside-the-platform-2024/
併せて、バグクラウドのブログも下記URLよりご参照ください。
https://www.bugcrowd.com/blog/inside-the-platform-bugcrowds-vulnerability-trends-report/
バグクラウド・プラットフォームがどのように貴社をサイバーリスクから守ることができるかについては、下記リンクをご参照ください。
https://www.bugcrowd.com/products/platform/
●バグクラウドについて
バグクラウドは、2012年以来、顧客や信頼できるエリートハッカー集団の創意工夫ならびに専門知識、およびデータとAIを活用した特許取得済みのSecurity Knowledge Platform(TM)を統合することで、企業が統制力を取り戻し、脅威に先んじて対応できるよう支援しています。当社のハッカー・ネットワークは、多様な専門知識を駆使して隠れた弱点を発見し、ゼロデイ・エクスプロイトに対しても、進化する脅威に迅速に対応します。卓越した拡張性と適応性により、当社のプラットフォームにおけるデータとAIを駆使したCrowdMatch(TM)テクノロジーは、顧客自身が展開するサイバー脅威との戦いに最適な人材を見つけます。当社は、脅威行為者を凌駕する最新のクラウドソーシング・セキュリティの新時代を創造することを目指しています。詳細は、当社ウェブサイト(www.bugcrowd.com)、または当社ブログ(https://www.bugcrowd.com/blog/ )をご覧ください。
*サンフランシスコに本社を置くバグクラウドは、Rally Ventures、Costanoa Ventures、Blackbird Ventures、Triangle Peak Partnersなどから支援を受けています。
*BugcrowdとSecurity Knowledge Platform は、Bugcrowd Inc.およびその子会社の商標です。その他の商標、商号、サービスマーク、ロゴは各社に帰属します。
●報道関係のお問い合わせ先
Bugcrowd広報事務局
Email: ykawai@zonicgroup.com
以上
配信元企業:Bugcrowd Inc.
コメント