Un nuovo rapporto di HackerOne presenta dati che suggeriscono che l'attività di bug bounty potrebbe essere a prova di recessione, citando aumenti nelle registrazioni di hacker, divulgazioni mensili di vulnerabilità e pagamenti nel mezzo di una recessione economica causata dalla pandemia di coronavirus.
Secondo l'annuale Hacker-Powered Security Report , le nuove iscrizioni alla piattaforma di bug bounty HackerOne durante aprile, maggio e giugno 2020 hanno rappresentato un aumento del 69% rispetto allo stesso periodo di tempo nel 2019 e un aumento del 56% rispetto a gennaio e febbraio 2020.
Inoltre, da aprile a giugno, la media mensile dei rapporti di vulnerabilità in entrata è aumentata del 28% rispetto a gennaio e febbraio e del 24% rispetto allo stesso periodo di tempo nel 2019. E anche il numero dei pagamenti delle taglie è aumentato del 29% rispetto ai primi due mesi di l'anno.
Una statistica particolarmente significativa potrebbe aiutare a spiegare la tendenza: il 30% dei 1.400 leader della sicurezza intervistati ha dichiarato ad HackerOne di essere ora più aperto ad accettare rapporti di vulnerabilità da ricercatori di terze parti come un modo per compensare le sfide di budget e di personale poste da COVID-19.
Ciò implica che le organizzazioni durante la crisi COVID-19 in corso e la recessione globale potrebbero trovarsi a fare più affidamento sull'assistenza esterna della più ampia comunità di hacker come un modo per aumentare i loro sforzi interni per mitigare il rischio di vulnerabilità. Questo, a sua volta, ha aperto nuove opportunità per i ricercatori esterni.
Alcune aziende, come Zoom, si sono effettivamente trovate piene di divulgazioni di bug ancora più del normale perché la pandemia "le ha fatte crescere rapidamente in popolarità sia per gli utenti che per gli hacker", ha affermato Katie Moussouris, fondatrice e CEO di Luta Security, una società che ha ha aiutato le aziende, Zoom incluso, a sviluppare la disponibilità organizzativa per la divulgazione delle vulnerabilità.
Brian Gorenc, direttore senior della ricerca sulle vulnerabilità e direttore del programma Zero Day Initiative (ZDI) di Trend Micro, ha dichiarato a SC Media di aver assistito a un trend simile all'aumento dell'attività di bug bounty. Nel 2019, ZDI ha pubblicato 1.045 avvisi di vulnerabilità nel corso di un intero anno. Quest'anno, ZDI ha già superato quei numeri con 1.235.
“E non è solo da persone che hanno familiarità con ZDI. Stiamo anche assistendo a un aumento di nuovi partecipanti al nostro programma ", ha detto Gorenc. “Siamo al passo per il nostro anno più impegnativo di sempre. Ci sono molte opportunità per i ricercatori, sia nuovi che esperti, di trovare e segnalare bug ".
E sebbene la domanda di talenti della sicurezza nella forza lavoro sia ancora relativamente elevata, vale la pena notare che il 30% dei responsabili della sicurezza intervistati da HackerOne quest'estate ha riferito di dover ridimensionare i propri team di sicurezza a causa della pandemia.
Con questo in mente, i professionisti della sicurezza e i ricercatori che hanno perso il lavoro aziendale durante questi tempi difficili economici potrebbero forse considerare la caccia alle taglie dei bug come una potenziale fonte di reddito per sostenersi fino a quando non si presenterà di nuovo l'occasione giusta.
Del resto, Gorenc ha affermato che anche i ricercatori di sicurezza a tempo pieno che sono ancora dipendenti con profitto potrebbero entrare in azione, perché le condizioni di lavoro da casa "offrono loro più tempo e opportunità per trovare e segnalare bug. Anche se la loro fonte di reddito primaria non è stata influenzata, il reddito extra è sempre il benvenuto ".
I cacciatori di insetti vedono un'opportunità
HackerOne ha collegato SC Media con una coppia di cacciatori di taglie di bug indipendenti che hanno anche affermato che le opportunità continuano ad abbondare.
Jon Colston, un prolifico ricercatore sulla vulnerabilità che ha accumulato oltre 1 milione di dollari in bug bounties tramite HackerOne, ha affermato che il suo lavoro passato nel settore della finanza al consumo era in realtà molto più imprevedibile, a causa di una serie di fattori esterni come "regolamentazione, domanda stagionale, condizioni e mercati della liquidità. "
Nel suo vecchio settore, se una di queste variabili cambiava, “così seguiva il personale. Era una grande equazione matematica in cui un titolo sui giornali indicava come probabilmente si sarebbero svolti i prossimi sei mesi ", ha detto Colston, che utilizza il nome hacker" Mayonaise "e ha scoperto più di 170 vulnerabilità nelle organizzazioni aziendali e governative.
In confronto, "il settore della sicurezza informatica sembra essere molto meno volatile", ha affermato Colston. “All'inizio della pandemia, temevo che le aziende si ritirassero in una posizione difensiva, proteggendo i dipendenti eliminando il budget per tutte le posizioni contrattuali e i programmi VDP. Sorprendentemente, ho assistito al contrario. Le aziende hanno spostato i pagamenti per incentivare i ricercatori a concentrarsi sui bug con un impatto maggiore, una mossa che rispecchiava la crescente minaccia dei malintenzionati che approfittano del blocco ".
L'hacker Tanner Emek, che utilizza l'handle @ cache-money e ha segnalato 374 bug tramite HackerOne nel corso della sua vita, ha notato che all'inizio della pandemia, una manciata di programmi ha ridotto alcuni pagamenti di taglie. Ma "lo hanno fatto solo per i bug di bassa e media gravità, e hanno lasciato gli stessi pagamenti alti e critici, o addirittura aumentati", ha detto.
Nel complesso, tuttavia, "la stragrande maggioranza dei programmi ha lasciato intatti i propri tavoli delle taglie e ha continuato le normali operazioni pur avendo bonus occasionali", ha continuato Emek. “Penso che la reazione a questo rifletta sull'importanza della sicurezza oggi per le aziende. Si rendono conto che la sicurezza non è il posto giusto per tagliare i costi, dal momento che ciò può finire per fare molti più danni a lungo termine ".
“Ho visto molti nuovi hacker essere coinvolti di recente. Con così tante aziende da hackerare, non mancano i bug da trovare ", ha aggiunto Emek. Un vantaggio del bug bounty è che sono accessibili a tutti, non solo ai professionisti della sicurezza. Con le risorse educative gratuite disponibili, Emek prevede che molti nuovi hacker con background non tradizionali si immergeranno nel campo.
Tuttavia, gli esperti sottolineano che non è facile cacciare un bug vivente.
"La stragrande maggioranza dei cacciatori di taglie di insetti nei paesi occidentali non può fare un reddito decente", ha detto Moussouris. I dati di HackerOne anno dopo anno dimostrano questo punto, ha osservato: su più di 830.000 hacker registrati, solo circa 9.000 hanno guadagnato qualcosa su HackerOne. "Inoltre, la maggior parte dei programmi di bug bounty su HackerOne sono privati, quindi la maggior parte degli hacker non sarà nemmeno invitata a tentare di guadagnare denaro da quei programmi."
Gorenc era un po 'più fiducioso: "È possibile essere un cacciatore di insetti a tempo pieno, ma è raro", ha detto. "Ci vuole molto tempo e dedizione per andare avanti con un ampio set di competenze e, soprattutto, la giusta mentalità per guadagnarsi da vivere solo con la caccia agli insetti. La maggior parte delle persone che segnalano ai programmi di bug bounty lo considerano più un trambusto secondario. "
Moussouris, che ha aiutato il Dipartimento della Difesa degli Stati Uniti a lanciare il primo programma di bug bounty del governo, "Hack the Pentagon", ha anche un avvertimento per le organizzazioni: i programmi di bug bounty non dovrebbero mai essere trattati come un sostituto totale delle competenze di sicurezza interne, anche con la recessione che ha costretto vari tagli al budget e al personale.
"Stiamo vedendo che i programmi di bug bounty e i VDP [programmi di divulgazione delle vulnerabilità] che reggono meglio durante la pandemia sono quelli che hanno investito di più internamente su persone, processi e tecnologia della sicurezza", ha osservato. “Ora più che mai, i bug bounty dovrebbero essere complementari agli altri tuoi due diligence sulla sicurezza, mai una sostituzione.
"In qualità di ex penetration tester e creatore di molti dei primi e più grandi programmi di bug bounty del mondo … posso dire che nessuna somma di denaro lanciata in un programma di bug bounty o in un penetration test sarà mai più efficiente della creazione di sicurezza da terra su."
Il post New report suggerisce che il bug bounty business è a prova di recessione è apparso per la prima volta su SC Media .