À l’occasion de sa conférence annuelle Security@, HackerOne, la plateforme de sécurité collaborative, a dévoilé de nouvelles fonctions de sécurité pour ses clients et sa communauté de hackers. Parmi les nouveautés, la création d’un top 10 mondial des vulnérabilités signalées par sa communauté de hackers. Celui-ci vient en complément du Top 10 de l’OWASP (Open Web Application Security Project), la communauté en ligne. Un classement qui permet de recueillir les informations, qui peuvent s’avérer salutaires, sur les menaces les plus sévères à l’échelle de la planète.
De nouvelles sources d’informations font également leur apparition sur la plateforme, comme l’indice d’exploitation CVE (Common Vulnerabilities and Exposures). Pour sa communauté de hackers, et après avoir dévoilé la toute première API pour hacker en juillet dernier, HackerOne offre davantage de transparence avec des classements et un simulateur de primes. Enfin, de nombreuses fonctions ont été améliorées sur la plateforme, comme la gestion des accès ou la connectivité avec les applications externes.
Le Top 10 de l’Open Web Application Security Project (OWASP) est largement utilisé comme référence pour permettre aux équipes de sécurité de définir leurs priorités dans la gestion des vulnérabilités. La version 2021 introduit trois nouvelles catégories : Conception non sécurisée, Défauts d’intégrité des logiciels et des données, et un groupe pour les attaques de type SSRF (Server-SideRequestForgery).
Des indices HackerOne pour isoler les CVE critiques
« HackerOne contribue non seulement au renseignement de données, mais participe aussi dans une démarche collaborative au contenu. Le nouveau Top 10 mondial de HackerOne va plus loin en proposant des mises à jour plus régulières et en fournissant des données spécifiques par secteur, pour offrir une visibilité accrue sur les vulnérabilités les plus critiques selon les hackers, et potentiellement non détectées par l’OWASP », explique la plateforme. L’indice d’exploitation des CVE (Common Vulnerabilities and Exposures) de HackerOne permet de franchir un cap dans le niveau d’intelligence fourni. Tandis qu’un scanner ne fournit que des informations basées sur un algorithme défini ou sur les estimations d’un analyste, cette fonctionnalité offre une vue des CVE les plus exploitables, sur la base de données réelles. Les données récoltées permettent de visualiser les CVE que les hackers signalent le plus. Les clients peuvent ainsi recourir à l’index en le reliant à la liste du CISA des 30 CVE les plus exploitées afin d’isoler les CVE les plus critiques. Ces nouvelles fonctionnalités de renseignement sur les vulnérabilités seront disponibles sur la plateforme HackerOne d’ici la fin de l’année.