Hackerone, eine Sicherheitsplattform für ethisch motivierte Hacker – die so genannten White Hat Hacker –, hat heute seinen neuesten Hacker-Powered Security Report veröffentlicht. Daraus geht hervor, dass Hacker in diesem Jahr mehr als 66.000 verifizierte Schwachstellen gemeldet haben – über 20 Prozent mehr als im Vorjahr.
Dabei ist die Zahl der gemeldeten Schwachstellen durch Hacker-Pentests um 264 Prozent gestiegen. Die durch die Pandemie beschleunigte, digitale Transformation sowie die Cloud-Migration sorgen weiterhin für Schwachstellen. Nicht zuletzt, da sich hierdurch die Angriffsflächen vergrößern und Dienste vermehrt ausgelagert werden.
Der jährlich erscheinende „Hacker-Powered Security Report: Industry Insights“ bietet einen Einblick in die weltweit größte Datenbank für Schwachstellen und Bug-Bounty-Programme. Wie aus dem diesjährigen Bericht hervorgeht, sind die in den vergangenen 12 Monate gezahlten Prämien (Bug Bounties) für schwerwiegende und kritische Schwachstellen gestiegen, da Unternehmen diesen schwerwiegenden Fehlern Priorität einräumen.
Der Bericht zeigt außerdem, dass Unternehmen Schwachstellen schneller als je zuvor beheben, da das Schwachstellenmanagement zunehmend Priorität genießt. Ferner liefert der Bericht auch neueste Daten zu den Top-10-Schwachstellen. Aus ihnen geht hervor, welche Anstrengungen zur Behebung von Schwachstellen vorrangig unternommen werden und für welche Informationen zu Sicherheitslücken die Unternehmen am meisten Geld ausgeben wollen.
„Selbst die konservativsten Unternehmen erkennen zunehmend die Wichtigkeit einer externen Beurteilung“, erklärt Chris Evans, der neu ernannte CISO und Chief Hacking Officer von Hackerone. „So haben wir beispielsweise nach wie vor in der Finanzdienstleistungsbranche ein starkes Wachstum zu verzeichnen. Da die Analyse und Quantifizierung von Risiken deren Geschäft sind, erkennen sie, dass sowohl das Risiko sinkt als auch, dass sich die Geschäftsergebnisse verbessern, wenn sie sich auf eine Zusammenarbeit mit Hackern einlassen. Darüber hinaus beobachten wir in allen Bereichen, dass Kunden die Daten aus Schwachstellenberichten nutzen, um ihre Softwareentwicklungszyklen zu optimieren. Unternehmen erkennen Probleme früher und beheben sie zu deutlich geringeren Kosten. Dies gelingt ihnen durch einen verstärkten Fokus auf verbesserte Schulungen der Entwickler, Source-Code-Integration und Development Frameworks.“
Weitere wichtige Ergebnisse des Berichts:
- Die Nutzung von Sicherheitsprogrammen unter Einbeziehung von Hackern nimmt in allen Branchen zu. Die Gesamtanzahl der Kundenprogramme wuchs 2021 um 34 Prozent.
- Die traditionell konservativen Sektoren Finanzdienstleistungen und Behörden sind weiterhin führend bei der Einführung Hacker-gestützter Sicherheitsprogramme, mit einem Anstieg von 62 Prozent bei den Initiativen der Finanzdienstleister bzw. 89 Prozent im Falle von Behörden. Beispielhaft standen für diesen Trend in diesem Jahr die Programme des britischen Verteidigungsministeriums sowie der GovTech-Behörde in Singapur.
- Im laufenden Jahr meldeten Hacker 21 Prozent mehr Schwachstellen als 2020. Während bei den traditionellen Bug-Bounty-Programmen die Zahl der validierten Schwachstellenmeldungen um 10 Prozent zunahm, verzeichneten die Vulnerability Disclosure Programs (VDPs) einen Anstieg um 47 Prozent. Die Meldungen der Hacker-gestützten Pentests wuchsen um 264 Prozent.
- Der Durchschnittspreis für einen kritischen Bug stieg um 20 Prozent von 2500 Dollar im Jahr 2020 auf 3000 Dollar im Jahr 2021. Die durchschnittlich gezahlte Prämie für eine kritische Schwachstelle (Critical) wuchs um 13 Prozent – und um 30 Prozent für einen Fehler mit hohem Schweregrad (High).
- Im vergangenen Jahr sank die durchschnittliche Zeit bis zur Behebung eines Fehlers branchenweit um 19 Prozent von 33 Tagen auf 26,7 Tage, wobei in einigen Branchen wie dem Einzelhandel und dem E-Commerce die Zeit bis zur Behebung um mehr als 50 Prozent abnahm.
- Der am häufigsten entdeckte Fehler, der über die Plattform von Hackerone gemeldet wurde, bestand nach wie vor im Cross Site Scripting, aber auch in anderen Fehlerkategorien ist die Zahl der Meldungen seit 2020 deutlich gestiegen. Information Disclosure (Offenlegung von Informationen) verzeichnete einen Anstieg von 58 Prozent bei den validierten Berichten und Business Logic Errors (Geschäftslogikfehler) einen Anstieg von 67 Prozent, was dieser Schwachstelle zum ersten Mal einen Platz in den Top 10 einbrachte.
www.hackerone.com