Una directiva de septiembre de 2020 a las agencias gubernamentales de EE. UU. para crear políticas de divulgación de vulnerabilidades ha impulsado un aumento en las actividades de informe de errores: el sector federal experimentó un aumento del 1,000 % en los envíos de vulnerabilidades válidas en los primeros tres trimestres de 2021, según Bugcrowd.
Los investigadores de seguridad han pasado más tiempo trabajando de forma remota en los últimos dos años, lo que ha permitido asignar más tiempo a las actividades de investigación. El sector gubernamental se ha beneficiado de la tendencia que, junto con el mandato del Departamento de Seguridad Nacional de EE. UU.Directiva operativa vinculante 20-01”, ha llevado a los investigadores a entregar significativamente más informes de errores en 2021 que el año anterior, informa Bugcrowd en la edición 2022 de su publicación anual “Informe de prioridad uno”, lanzado hoy.
La reacción a la directiva comenzó de forma pequeña, pero se aceleró rápidamente hasta 2021, exponiendo la gran área de superficie de ataque de las agencias gubernamentales y los puntos dentro de su infraestructura que permanecieron relativamente sin probar, dice Casey Ellis, fundador y director de tecnología de Bugcrowd.
“No creo que el gobierno tenga dificultades únicas en la gestión de vulnerabilidades”, dice. “Empresas que han existido por mucho tiempo y han tenido un crecimiento orgánico e inorgánico, lo primero que descubren es que no saben dónde están sus cosas, y el gobierno no es diferente. Esas cosas juntas realmente contribuyeron a ese 10x: es una gran superficie de ataque que ahora se está analizando”.
El sector gobierno no está solo. El sector financiero vio casi el doble de informes de errores, y las presentaciones válidas aumentaron un 82% en los primeros tres trimestres de 2021, afirma Bugcrowd en su informe. En general, Bugcrowd y otros programas de recompensas por errores, junto con recompensas por errores corporativos independientes, han visto aumentar las recompensas con el tiempo y un cambio en el enfoque del investigador hacia los defectos más críticos.
Bugcrowd también ha sido testigo de la mentalidad de rebaño en la investigación de vulnerabilidades. Después de la divulgación pública de una vulnerabilidad, los piratas suelen centrar sus propios esfuerzos en la misma clase de problemas de seguridad. La divulgación de Log4j, por ejemplo, resultó en una oleada de pruebas de plataforma para problemas similares. Esto dio lugar a más de 1,200 informes, de los cuales al menos 500 eran problemas válidos informados a los clientes de la empresa. Reenfocarse en el último tema significativo le valió a un investigador $90,000.
“Esos turnos son como todas las personas de pie en una fiesta en el patio trasero, esperando que alguien se sume”, dice Ellis. "Vimos mucho... más enfoque en problemas críticos de acceso remoto".
Los problemas de prioridad 1 y 2, esencialmente los problemas críticos y de alta gravedad en la taxonomía de Bugcrowd, representaron el 24% de todos los problemas informados, según el informe. Las secuencias de comandos entre sitios y los controles de acceso rotos continuaron siendo las principales clases de vulnerabilidades descubiertas por los investigadores, pero la exposición de datos confidenciales se convirtió en el tercer problema más común, desde el puesto número 9 en 2020.
Los pagos también están aumentando en todas las industrias. Los servicios financieros pagaron más del doble (106 %) del volumen en dólares por problemas descubiertos por investigadores, mientras que las empresas de software pagaron un 73 % más en 2021, en comparación con el año anterior.
No todas las vulnerabilidades tenían que ser nuevas para ganar una recompensa: las empresas están buscando problemas sin parches, incluso si esos problemas no son nuevos. Las llamadas vulnerabilidades de "día n" se han vuelto, en muchos sentidos, más importantes que las vulnerabilidades de día 0, afirma Bugcrowd en el informe.
La vulnerabilidad Log4j también es un ejemplo de una falla de seguridad con una larga cola que los atacantes seguirán explotando en el futuro. El aviso de Log4j desencadenó una gran cantidad de actividad de sombrero blanco y sombrero negro, dice Ellis.
“Los atacantes sofisticados siempre se han equiparado con hazañas exóticas y sigilo, pero creo que está claro que ese ya no es siempre el caso”, dice. “Como atacante, independientemente de si eres un gobierno, tu toma tiene que justificar tu costo. ¿Por qué quemar un día cero de un millón de dólares cuando algo que puedes descargar gratis funciona igual de bien?
Vale la pena estudiar el impacto de la nueva investigación en los intereses de los piratas informáticos, y el impulso que produce dentro de la comunidad de investigación, para determinar qué tipos de vulnerabilidades es más probable que se descubran y exploten en el futuro, dice Ellis.
“Los investigadores y la comunidad de piratas informáticos definitivamente operan como un rebaño: se escuchan unos a otros, y donde están viendo el éxito, ejecutan nuevas investigaciones”, dice, y agrega que es solo economía racional. “Su objetivo es encontrar vulnerabilidades que sean únicas y luego recibir un pago por ello”.
