Quais as previsões dos hackers para 2021?

Shape Image One
Quais as previsões dos hackers para 2021?
Quais as previsões dos hackers para 2021? A Info Security Magazine conversou com alguns membros da comunidade global HackerOne sobre o que eles acham que está acontecendo no mercado e o que esperar em 2021. Montei uma tradução livre sobre o assunto, espero que curtam.
 

Julien Ahrens, também conhecido como @MrTuxracer; Alemanha

Quais as previsões dos hackers para 2021 1
Qual você acha que será a maior ameaça às empresas no próximo ano? 
Veremos um aumento de ataques, especialmente contra aqueles que começaram a digitalizar seus arquivos. Uma coisa que me preocupa particularmente é a enorme velocidade das instituições governamentais, como escolas, que colocam tudo online. Eles tiveram que construir sistemas e processos com muito pouco tempo, o que nunca é bom quando se trata de segurança. 
O que representa o maior risco no próximo ano? 
Esses ataques de engenharia social contra pessoas que não estão suficientemente protegidas e cientes aumentarão enormemente porque as empresas não terão tido tempo para educar suficientemente seus funcionários sobre a ameaça. 
As atitudes ao trabalhar com hackers estão se tornando mais positivas?
Absolutamente! Devido à crescente conscientização, especialmente na mídia, de hackers encontrando e corrigindo bugs, as empresas estão se tornando mais conscientes do fato de que caras como eu podem realmente ajudá-los. 
 

James Kettle, também conhecido como @albinowax; Reino Unido 

Quais as previsões dos hackers para 2021 1
O que mudou para você este ano? 
Eu vi um aumento significativo nas mitigações contra as maiores classes de vulnerabilidade. De cookies do mesmo site habilitados por padrão em navegadores até o lançamento do HTTP Desync Guardian pela Amazon, os hackers estão cada vez mais tendo que contornar bloqueios maiores do que regexes WAF com manutenção deficiente. 
Quais tendências de vulnerabilidade você espera que surjam em 2021? 
Veremos mais pessoas explorando discrepâncias entre aplicativos de vários servidores, como contrabando de solicitações, poluição de parâmetros e exploits de normalização de caminho. 
E quanto às novas técnicas? 
Existe uma longa cauda de técnicas esotéricas com as quais quase ninguém se preocupa, porque podem obter melhores resultados usando ataques bem compreendidos e de menor esforço. À medida que os ataques clássicos são mitigados e eliminados por scanners automatizados, acho que veremos uma tendência gradual de hackers adotando o obscuro – falhas de lógica de negócios,  tempo de ataque e cadeias complicadas de ataques em geral. 

 

Shubham Shah também conhecido como @notnaffy; Austrália

Quais as previsões dos hackers para 2021 1
Quais tendências de vulnerabilidade você vê surgindo no próximo ano? Há algo que está afetando especificamente sua região?
Na APAC, ainda estamos adotando a abordagem da nuvem em primeiro lugar e, com a mudança para a nuvem, espero ver empresas adotando tecnologias mais novas para orquestrar a implantação de aplicativos e serviços essenciais. Com a adoção de novas tecnologias e metodologias, geralmente ocorrem configurações e passos errados ao longo do caminho que podem levar a vulnerabilidades.
Quais setores estarão em maior risco no próximo ano?  
Como vimos no último trimestre de 2020, os invasores têm como alvo empresas que armazenam informações críticas (registros médicos) ou hospedam infraestrutura crítica (hospitais) para atingir seus objetivos de ataques de ransomware. Infelizmente, acredito que essa tendência vai continuar, com total desrespeito à moral, visando indústrias ou empresas que atendem às pessoas mais vulneráveis ​​em nossa sociedade.
Esta é uma visão sombria sobre o futuro, mas dado o ritmo dos atacantes atuais, não ficaria surpreso se a infraestrutura que é crítica para nossa subsistência for direcionada (sistemas SCADA, Telco’s, Saúde, Educação). 
Como as atitudes ao trabalhar com hackers estão mudando em sua experiência?
Agora estamos vendo grandes corporações adotando vulnerabilidades de segurança de pesquisadores como uma parte central de seus processos de segurança. Ainda acho que há um longo caminho a percorrer, pois há um grande número de organizações que fornecem infraestrutura crítica para nossas comunidades que ainda não estabeleceram programas de divulgação de vulnerabilidades ou recompensas por bugs.  
 

Samuel Eng, também conhecido como @Samengmg; Cingapura 

Quais as previsões dos hackers para 2021 1
O que mudou em sua experiência de hacking este ano?  
Devido à pandemia COVID-19, vi um influxo de caçadores de recompensas de insetos em vários programas. Notei que muitos programas se fortaleceram muito rapidamente no início da pandemia, especialmente classes de vulnerabilidade comuns, como XSS, Injeções de SQL e desvios de autenticação básica. 
Quais você acha que serão as maiores ameaças à segurança para empresas e agências governamentais no próximo ano? 
Ainda encontro muitos desvios de autenticação e problemas de controle de acesso, que acho que continuam a ter um impacto significativo em qualquer empresa. Isso provavelmente continuará, pois o problema é baseado no contexto do aplicativo. Os scanners não detectam esses problemas, portanto, é necessário ter olhos experientes e treinados procurando por eles. 
Quais tendências de vulnerabilidade você vê surgindo no próximo ano? 
Os desvios de OTP tendem a ser bastante proeminentes na APAC; 2FA é um requisito de conformidade que surgiu rapidamente no APAC, e isso significa que os desenvolvedores tendem a implementar esses recursos rapidamente, mas não com segurança. Por outro lado, vulnerabilidades anteriormente comuns, como CSRF ou SQL Injection, serão reduzidas devido a estruturas que adotam configurações padrão seguras. 

 

Jack Cable, também conhecido como @CableJ;EUA 

Quais as previsões dos hackers para 2021 1
Qual foi a maior mudança em sua experiência este ano?  
No ano passado, houve uma mudança radical na maneira como o governo e as organizações relacionadas a eleições envolvem os hackers.Com a Diretiva Operacional Vinculativa 20-01 da Agência de Segurança Cibernética e de Infraestrutura (CISA), todas as agências federais civis do poder executivo são obrigadas a lançar políticas de divulgação de vulnerabilidades, fornecendo proteção legal para pesquisadores de segurança que relatam vulnerabilidades.
Essa ação crucial permitirá que o governo receba feedback de segurança de indivíduos externos, permitindo que as agências entendam melhor e consertem seus pontos fracos. 
Alguma ideia sobre o envolvimento de hackers nas eleições nos EUA?  
Tanto as empresas quanto os governos em torno da eleição tomaram medidas para envolver os hackers. Os secretários de estado de Ohio e Iowa lançaram políticas de divulgação de vulnerabilidades, sendo as primeiras de muitas outras a promover a pesquisa de segurança em seus sistemas eleitorais públicos.
Da mesma forma, todos os principais fornecedores de votação lançaram políticas de divulgação de vulnerabilidade, que é o primeiro passo para reparar relacionamentos tradicionalmente tensos com a comunidade hacker.
 

Quer tornar-se um especialista em produtos Microsoft?

Tenha acesso a vários cursos em uma única plataforma pagando apenas R$ 9,90 por mês.
Conheça o nosso Microsoft Club clicando aqui.