YesWeHack, een Europees bug bounty-platform, kondigde deze week een exponentiële groei aan in Europa, met een omzetgroei van 100% in 2020. In dezelfde periode steeg het aantal voltooide bug bounty-programma’s met 120% en het aantal geïdentificeerde kwetsbaarheden meer dan verdubbeld. Deze groei onderstreept de positie van YesWeHack als een toonaangevende wereldspeler op het gebied van crowdsourced-beveiliging en bevestigt zijn positie als het enige haalbare alternatief voor Amerikaanse platforms.
Crowdsourced beveiliging voor iedereen
De technologiesector was de eerste markt die het crowdsourced-beveiligingsmodel adopteerde en blijft de belangrijkste markt voor YesWeHack. Dit wordt gevolgd door de financiële en verzekeringssector, die respectievelijk 35% en 26% vertegenwoordigen van de Bug Bounty-programma’s die in 2020 op het platform zijn gelanceerd.
Ondertussen heeft de wereldwijde pandemie de groei van Bug Bounty in andere sectoren dramatisch versneld. Om de crisis het hoofd te bieden, hebben veel organisaties hun bedrijfsmodellen opnieuw uitgevonden door hun activiteiten te digitaliseren. Gezien de nieuwe risico’s en het belang van cybersecurity voor het economisch voortbestaan van bedrijven, hebben steeds meer chief information security officers (CISO’s) zich tot Bug Bounty gewend. Als gevolg hiervan wint crowdsourced-beveiliging snel aan populariteit in een groot aantal bedrijfssectoren. Dit omvat detailhandel (13%), media en entertainment (6%), transport (6%), overheid (4%), nutsbedrijven (3%) en telecommunicatie (3%).
Twee keer zoveel kwetsbaarheden ontdekt in 2020
De YesWeHack-hackergemeenschap identificeerde in 2020 twee keer zoveel kwetsbaarheden als in 2019. Ongeveer 30% van de gerapporteerde kwetsbaarheden op het YesWeHack-platform werden gekwalificeerd als ‘hoog’ of ‘kritiek’, wat betekent dat ze een verwoestende impact zouden hebben gehad als ze waren uitgebuit door piraten. Bijvoorbeeld alle klantgegevens blootleggen of een infrastructuur volledig in gevaar brengen.
Wat betreft de soorten gedetecteerde kwetsbaarheden, merkt YesWeHack op dat de evolutie van technologieën heeft geleid tot een lichte maar constante toename van kwetsbaarheden. Deze zijn het gevolg van implementatie- of ontwerpfouten (beveiligd ontwerp en toegangscontrole) die het aantal zogenaamde technische kwetsbaarheden (invoerproblemen) verminderen. Deze trend zal naar verwachting de komende jaren toenemen naarmate de verharding van de ontwikkelingskaders zich voortzet.
Win/win-relatie tussen klanten en ethische hackers
De reden voor de populariteit van het YesWeHack-platform onder ethische hackers kan deels worden toegeschreven aan de efficiëntie van de programma’s. Zo werd in 2020 55% van de kwetsbaarheden binnen een week na indiening van de melding betaald. Bovendien werd 87% binnen 28 dagen uitbetaald. Het is ook opmerkelijk dat de hoogste bonus die in 2020 aan een YesWeHack-jager werd betaald € 10.000 was.
De tijd die nodig is om kwetsbaarheden op te lossen, is ook aanzienlijk gedaald. De gemiddelde oplostijd in 2020 was inderdaad 44 dagen vergeleken met 109 dagen in 2019. Bovendien werd bijna 70% van de kwetsbaarheden die in 2020 door YesWeHack-onderzoekers werden ontdekt, binnen 28 dagen na acceptatie verholpen. Deze toename is deels toe te schrijven aan de geleidelijke integratie van Bounty Bug binnen de software development lifecycle (SDLC).
Deze vloeiende uitwisseling tussen klanten en ethische hackers van YesWeHack zorgt voor een echte ‘win-win’ ‑samenwerking. Vanuit klantperspectief behouden ze hun eigen pool van onderzoekers, vertonen ze een hoog percentage gevalideerde kwetsbaarheden en verbeteren ze hun operationele veiligheidspositie. Vanuit het perspectief van de onderzoeker werkt hij of zij aan goed beheerde programma’s en wordt hij snel beloond voor hun werk.
Ethische hackers zullen in 2021 een centrale rol spelen
2020 markeerde een historisch keerpunt voor de markt voor ethisch hacken. Het organisatorische begrip van de strategie is volwassener geworden en in 2021 zal een toenemend aantal crowdsourced-beveiliging centraal stellen in hun beveiligingsstrategie om blootgestelde activa te beschermen.
Het aanvalsoppervlak zal zich waarschijnlijk ook verbreden in 2021 en daarna. Romain Lecoeuvre, CTO en mede-oprichter van YesWeHack, waarschuwt dat organisaties de veiligheid van hun groeiende aantal externe interacties, zoals met logistiek, klanten, leveranciers, serviceproviders en financiën, niet kunnen garanderen: aanvalsoppervlak en bemoeilijkt de veiligheid van hun digitale voetafdruk. Als dit niet wordt aangevinkt, kunnen deze nieuwe blootstellingen snel het doelwit worden van toekomstige cyberaanvallen. ”
Guillaume Vassault-Houlière, CEO en mede-oprichter van YesWeHack, is ook van mening dat ethische hackers een cruciale rol zullen spelen in 2021 en voorspelt een aanzienlijke acceptatie van kwetsbaarheids-openbaarmakingsbeleid (VDP’s). Hij zegt: “Digitale versnelling ging altijd over het product, niet over de gebruikers. Gebruikers pleiten nu echter sterk voor transparantie en veiligheid van digitale spelers. Het recente enthousiasme van het publiek voor de Signal-applicatie, en het wantrouwen voor WhatsApp, illustreert dit heel duidelijk.
Bedrijven zullen daarom VDP’s moeten opzetten om hun producten te testen door ethische hackers. Op deze manier kunnen ze het vertrouwen van gebruikers effectief herwinnen en volledige transparantie tonen. Overheden hebben ook een rol te spelen bij het beveiligen van hun digitale gegevens en zullen de kwestie van de verantwoorde openbaarmaking van kwetsbaarheden aan de orde moeten stellen. Vergis je niet, Europa moet crowdsourced-beveiliging dringend centraal stellen in zijn cyberbeveiligingsaanbevelingen. ”
Deze infographic geeft een samenvatting van de belangrijkste informatie die YesWeHack heeft bekend gemaakt:
