طرفداران امنیتی توسط Big Pay Days به امتیازات باگ اغوا می شوند


با افزایش سرعت فعالیت های مجرمانه در اینترنت، جستجوی حشرات برای پول نقد شروع به جذب بیشتر و بیشتر محققان امنیتی کرده است.

در آخرین گزارش سالانه خود، پلتفرم پاداش باگ Intigriti فاش کرد که تعداد تحلیلگرانی که برای خدمات آن ثبت نام کرده اند، از آوریل 2021 تا آوریل 2022، 43 درصد افزایش یافته است. تنها برای Intigriti، این به معنای اضافه شدن 50000 محقق است.

در بیشتر موارد، شکار پاداش حشرات برای اکثر این محققان کار پاره وقت است، به طوری که 54٪ شغل تمام وقت و 34٪ دیگر دانشجویان تمام وقت هستند.

ری کلی، یکی از همکاران WhiteHat Security، ارائه‌دهنده امنیت برنامه‌های کاربردی در سن خوزه، کالیفرنیا، که اخیراً توسط Synopsys خریداری شده است، اظهار داشت: «برنامه‌های پاداش باگ هم برای سازمان‌ها و هم برای محققان امنیتی کاملاً موفق هستند.

او به TechNewsWorld گفت: «برنامه‌های پاداش باگ مؤثر تأثیر آسیب‌پذیری‌های امنیتی جدی را که می‌توانند به راحتی پایگاه مشتریان سازمان را در معرض خطر قرار دهند، محدود می‌کنند.

او گفت: «پرداخت گزارش‌های اشکال گاهی اوقات می‌تواند از مبالغ شش رقمی فراتر رود، که ممکن است زیاد به نظر برسد. با این حال، هزینه‌ای که برای یک سازمان برای اصلاح و بازیابی آسیب‌پذیری روز صفر می‌پردازد، می‌تواند میلیون‌ها دلار درآمد از دست داده باشد.

“حسن نیت” پاداش داده شد

همانطور که اگر انگیزه کافی برای تبدیل شدن به یک شکارچی باگ وجود نداشته باشد، وزارت دادگستری ایالات متحده اخیراً با اتخاذ سیاستی که بیان می کند قانون فدرال کلاهبرداری و سوء استفاده رایانه ای را علیه هکرهایی که به نظر آنها “خوب عمل می کنند” اجرا نمی کند، مسیر شغلی را شیرین کرده است. ایمان» هنگام تلاش برای کشف نقص در نرم افزار و سیستم.

مایک پارکین، مهندس فنی ارشد در Vulcan Cyber، ارائه‌دهنده SaaS برای اصلاح خطرات سایبری سازمانی در تل‌آویو، اسرائیل، اظهار داشت: «تغییر سیاست اخیر برای توقف پیگرد قانونی محققان خوش‌آمد و دیر شده است».

این واقعیت که محققان سال‌ها تلاش کرده‌اند تا نقص‌های امنیتی را در رژیمی که به معنای «هیچ کار خیر بدون مجازات نمی‌ماند» پیدا کرده و به اصلاح آن کمک کنند، نشان‌دهنده تعهد آنها به انجام کار درست است، حتی اگر انجام کار درست به معنای خطر باشد. جریمه نقدی و زندان،” او به TechNewsWorld گفت.

او گفت: «این تغییر سیاست یک مانع نسبتاً اساسی را بر سر راه تحقیقات آسیب‌پذیری از بین می‌برد، و ما می‌توانیم امیدوار باشیم که به سرعت سود بیشتری را با افراد بیشتری که با حسن نیت به دنبال اشکال هستند، بدون تهدید به زندان برای انجام آن، پرداخت کند».

امروزه ایجاد اشکال در نرم افزار دیگران به عنوان یک تجارت قابل احترام در نظر گرفته می شود، اما همیشه اینطور نبوده است. جیمز مک‌کویگان، مدافع آگاهی امنیتی در KnowBe4، ارائه‌دهنده آموزش آگاهی امنیتی در کلیرواتر، فلوریدا، مشاهده کرد: «در ابتدا مشکلات زیادی وجود داشت که شکارچیان باگ بوونتی آسیب‌پذیری‌ها را پیدا می‌کردند.

او به TechNewsWorld گفت: «سازمان‌ها نسبت به آن توهین بزرگی می‌کنند، و سعی می‌کنند محقق را برای کشف آن متهم کنند، در حالی که در واقع، محقق می‌خواست کمک کند». “صنعت این را تشخیص داده است و اکنون آدرس های ایمیلی برای دریافت این نوع اطلاعات تنظیم کرده است.”

فایده چشم های زیاد

در طول سال‌ها، شرکت‌ها به مزایایی که برنامه‌های پاداش باگ می‌تواند به همراه داشته باشد، متوجه شده‌اند. کیسی الیس، مدیر ارشد فناوری و موسس Bugcrowd، که یک پلتفرم پاداش باگ جمع‌سپاری شده را اجرا می‌کند، توضیح داد: «وظیفه کشف و اولویت‌بندی پیامدهای آسیب‌پذیر و ناخواسته، تمرکز منابع یا تلاش‌های سازمان نیست و نباید باشد.

او به TechNewsWorld گفت: «در نتیجه، پاسخ مقیاس‌پذیرتر و مؤثرتر به این سؤال که «به احتمال زیاد در آینده در کجا قرار می‌گیرم» دیگر به عنوان یک چیز خوب در نظر گرفته نمی‌شود، بلکه باید داشته باشد. “این جایی است که برنامه های پاداش باگ وارد بازی می شوند.”

دیویس مک کارتی، محقق امنیتی اصلی در Valtix، ارائه‌دهنده خدمات امنیت شبکه بومی ابری در سانتا کلارا، کالیفرنیا، اضافه کرد: «برنامه‌های پاداش باگ روشی پیشگیرانه برای رفع آسیب‌پذیری‌ها و پاداش دادن به کار خوب و صلاحدید دیگران هستند.

او به TechNewsWorld گفت: «این ضرب المثل قدیمی که «چشم های زیادی همه حشرات را کم عمق می کنند»، با توجه به فقدان استعداد در این زمینه صادق است.

پارکین موافقت کرد. او گفت: «با پیچیدگی محض کدهای مدرن و تعاملات بی‌شمار بین برنامه‌ها، داشتن چشم‌های مسئولانه‌تر به دنبال عیوب حیاتی است.

او ادامه داد: «بازیگران تهدید همیشه در تلاش برای یافتن آسیب‌پذیری‌های جدیدی هستند که می‌توانند از آنها سوء استفاده کنند، و تهدید در امنیت سایبری فقط خصمانه‌تر شده است». «افزایش پاداش‌های باگ راهی برای سازمان‌ها است تا برخی از محققان مستقل را در بازی در کنار خود قرار دهند. این یک واکنش طبیعی به افزایش حملات پیچیده است.»

برنامه جایزه بازیگر بد

در حالی که برنامه‌های پاداش باگ در بین کسب‌وکارها مقبولیت بیشتری پیدا کرده‌اند، اما همچنان می‌توانند در سازمان‌ها اصطکاک ایجاد کنند.

«محققان اغلب از این شکایت دارند که حتی زمانی که شرکت‌ها یک برنامه افشای هماهنگ یا پاداش باگ دارند، بازپس‌گیری یا اصطکاک بیش از حد وجود دارد. آرچی آگاروال، بنیانگذار و مدیر عامل ThreatModeler، یک ارائه دهنده خودکار مدل سازی تهدیدات در جرسی سیتی، نیوجرسی، خاطرنشان کرد: آنها اغلب احساس می کنند که ناچیز شده اند یا تحت فشار قرار می گیرند.

او به TechNewsWorld گفت: «سازمان‌ها، به نوبه خود، اغلب هنگام ارائه یک افشا گیر می‌کنند، زیرا محقق یک نقص طراحی کشنده را پیدا کرده است که برای کاهش آن به ماه‌ها تلاش هماهنگ نیاز دارد». «شاید برخی ترجیح می‌دهند که چنین نقص‌هایی دور از چشم بماند.»

او ادامه داد: “تلاش و هزینه برای رفع نقص های طراحی پس از استقرار یک سیستم یک چالش حیاتی است.” «راه قطعی برای جلوگیری از این امر، مدل‌سازی تهدید سیستم‌هایی است که ساخته می‌شوند و طراحی آن‌ها در حال تکامل است. این امر سازمان ها را به توانایی برنامه ریزی و مقابله با این نقص ها در شکل بالقوه آنها، فعالانه مجهز می کند.”

احتمالاً یکی از بزرگترین گواهی‌ها برای اثربخشی برنامه‌های پاداش باگ این است که بازیگران مخرب شروع به اتخاذ این عمل کرده‌اند. گروه باج‌افزار LockBit به افرادی که آسیب‌پذیری‌ها را در وب‌سایت لو رفته و کدشان کشف می‌کنند، پرداختی ارائه می‌کند.

جان بامبنک، شکارچی اصلی تهدید در Netenrich، یک شرکت عملیات فناوری اطلاعات و امنیت دیجیتال مستقر در سان خوزه، کالیفرنیا، پیش‌بینی کرد: «این توسعه بدیع است، با این حال، من شک دارم که افراد زیادی را جذب کنند.

او به TechNewsWorld گفت: “من می دانم که اگر آسیب پذیری پیدا کنم، از آن برای زندانی کردن آنها استفاده می کنم.” “اگر مجرمی یکی را پیدا کند، برای سرقت از آنها است زیرا هیچ افتخاری در میان اپراتورهای باج افزار وجود ندارد.”

“برنامه های هک اخلاقی بسیار موفق بوده اند. کیسی بیسون، رئیس روابط محصول و توسعه‌دهندگان در BluBracket، یک شرکت خدمات امنیت سایبری در منلو پارک، کالیفرنیا، افزود: دیدن گروه‌های باج‌افزاری که روش‌ها و خدمات خود را در مواجهه با این رقابت اصلاح می‌کنند، تعجب‌آور نیست.

او هشدار داد که مهاجمان به طور فزاینده‌ای درمی‌یابند که می‌توانند به شرکت‌ها و سیستم‌هایی که می‌خواهند حمله کنند، دسترسی داشته باشند.

او به TechNewsWorld گفت: “این باید هر شرکتی را به امنیت زنجیره تامین داخلی خود، از جمله اینکه چه کسی و چه چیزی به کد آنها دسترسی دارد، و هر گونه اسرار موجود در آن نگاه کند.” برنامه‌های جایزه غیراخلاقی مانند این رمز عبور و کلیدهای کد را برای هر کسی که به کد شما دسترسی دارد به طلا تبدیل می‌کند.



منبع