او به TechNewsWorld گفت: «در نتیجه، پاسخ مقیاسپذیرتر و مؤثرتر به این سؤال که «به احتمال زیاد در آینده در کجا قرار میگیرم» دیگر به عنوان یک چیز خوب در نظر گرفته نمیشود، بلکه باید داشته باشد. “این جایی است که برنامه های پاداش باگ وارد بازی می شوند.”
با افزایش سرعت فعالیت های مجرمانه در اینترنت، جستجوی حشرات برای پول نقد شروع به جذب بیشتر و بیشتر محققان امنیتی کرده است.
او به TechNewsWorld گفت: «سازمانها، به نوبه خود، اغلب هنگام ارائه یک افشا گیر میکنند، زیرا محقق یک نقص طراحی کشنده را پیدا کرده است که برای کاهش آن به ماهها تلاش هماهنگ نیاز دارد». «شاید برخی ترجیح میدهند که چنین نقصهایی دور از چشم بماند.»
او به TechNewsWorld گفت: «برنامههای پاداش باگ مؤثر تأثیر آسیبپذیریهای امنیتی جدی را که میتوانند به راحتی پایگاه مشتریان سازمان را در معرض خطر قرار دهند، محدود میکنند.
جان بامبنک، شکارچی اصلی تهدید در Netenrich، یک شرکت عملیات فناوری اطلاعات و امنیت دیجیتال مستقر در سان خوزه، کالیفرنیا، پیشبینی کرد: «این توسعه بدیع است، با این حال، من شک دارم که افراد زیادی را جذب کنند.
پارکین موافقت کرد. او گفت: «با پیچیدگی محض کدهای مدرن و تعاملات بیشمار بین برنامهها، داشتن چشمهای مسئولانهتر به دنبال عیوب حیاتی است.
همانطور که اگر انگیزه کافی برای تبدیل شدن به یک شکارچی باگ وجود نداشته باشد، وزارت دادگستری ایالات متحده اخیراً با اتخاذ سیاستی که بیان می کند قانون فدرال کلاهبرداری و سوء استفاده رایانه ای را علیه هکرهایی که به نظر آنها “خوب عمل می کنند” اجرا نمی کند، مسیر شغلی را شیرین کرده است. ایمان» هنگام تلاش برای کشف نقص در نرم افزار و سیستم.
در طول سالها، شرکتها به مزایایی که برنامههای پاداش باگ میتواند به همراه داشته باشد، متوجه شدهاند. کیسی الیس، مدیر ارشد فناوری و موسس Bugcrowd، که یک پلتفرم پاداش باگ جمعسپاری شده را اجرا میکند، توضیح داد: «وظیفه کشف و اولویتبندی پیامدهای آسیبپذیر و ناخواسته، تمرکز منابع یا تلاشهای سازمان نیست و نباید باشد.
او به TechNewsWorld گفت: “این باید هر شرکتی را به امنیت زنجیره تامین داخلی خود، از جمله اینکه چه کسی و چه چیزی به کد آنها دسترسی دارد، و هر گونه اسرار موجود در آن نگاه کند.” برنامههای جایزه غیراخلاقی مانند این رمز عبور و کلیدهای کد را برای هر کسی که به کد شما دسترسی دارد به طلا تبدیل میکند.
منبع
دیویس مک کارتی، محقق امنیتی اصلی در Valtix، ارائهدهنده خدمات امنیت شبکه بومی ابری در سانتا کلارا، کالیفرنیا، اضافه کرد: «برنامههای پاداش باگ روشی پیشگیرانه برای رفع آسیبپذیریها و پاداش دادن به کار خوب و صلاحدید دیگران هستند.
مایک پارکین، مهندس فنی ارشد در Vulcan Cyber، ارائهدهنده SaaS برای اصلاح خطرات سایبری سازمانی در تلآویو، اسرائیل، اظهار داشت: «تغییر سیاست اخیر برای توقف پیگرد قانونی محققان خوشآمد و دیر شده است».
تبلیغات
در آخرین گزارش سالانه خود، پلتفرم پاداش باگ Intigriti فاش کرد که تعداد تحلیلگرانی که برای خدمات آن ثبت نام کرده اند، از آوریل 2021 تا آوریل 2022، 43 درصد افزایش یافته است. تنها برای Intigriti، این به معنای اضافه شدن 50000 محقق است.
او گفت: «پرداخت گزارشهای اشکال گاهی اوقات میتواند از مبالغ شش رقمی فراتر رود، که ممکن است زیاد به نظر برسد. با این حال، هزینهای که برای یک سازمان برای اصلاح و بازیابی آسیبپذیری روز صفر میپردازد، میتواند میلیونها دلار درآمد از دست داده باشد.
“حسن نیت” پاداش داده شد
ری کلی، یکی از همکاران WhiteHat Security، ارائهدهنده امنیت برنامههای کاربردی در سن خوزه، کالیفرنیا، که اخیراً توسط Synopsys خریداری شده است، اظهار داشت: «برنامههای پاداش باگ هم برای سازمانها و هم برای محققان امنیتی کاملاً موفق هستند.
او ادامه داد: “تلاش و هزینه برای رفع نقص های طراحی پس از استقرار یک سیستم یک چالش حیاتی است.” «راه قطعی برای جلوگیری از این امر، مدلسازی تهدید سیستمهایی است که ساخته میشوند و طراحی آنها در حال تکامل است. این امر سازمان ها را به توانایی برنامه ریزی و مقابله با این نقص ها در شکل بالقوه آنها، فعالانه مجهز می کند.”
این واقعیت که محققان سالها تلاش کردهاند تا نقصهای امنیتی را در رژیمی که به معنای «هیچ کار خیر بدون مجازات نمیماند» پیدا کرده و به اصلاح آن کمک کنند، نشاندهنده تعهد آنها به انجام کار درست است، حتی اگر انجام کار درست به معنای خطر باشد. جریمه نقدی و زندان،” او به TechNewsWorld گفت.
در حالی که برنامههای پاداش باگ در بین کسبوکارها مقبولیت بیشتری پیدا کردهاند، اما همچنان میتوانند در سازمانها اصطکاک ایجاد کنند.
او به TechNewsWorld گفت: «این ضرب المثل قدیمی که «چشم های زیادی همه حشرات را کم عمق می کنند»، با توجه به فقدان استعداد در این زمینه صادق است.
احتمالاً یکی از بزرگترین گواهیها برای اثربخشی برنامههای پاداش باگ این است که بازیگران مخرب شروع به اتخاذ این عمل کردهاند. گروه باجافزار LockBit به افرادی که آسیبپذیریها را در وبسایت لو رفته و کدشان کشف میکنند، پرداختی ارائه میکند.
او هشدار داد که مهاجمان به طور فزایندهای درمییابند که میتوانند به شرکتها و سیستمهایی که میخواهند حمله کنند، دسترسی داشته باشند.
او به TechNewsWorld گفت: «سازمانها نسبت به آن توهین بزرگی میکنند، و سعی میکنند محقق را برای کشف آن متهم کنند، در حالی که در واقع، محقق میخواست کمک کند». “صنعت این را تشخیص داده است و اکنون آدرس های ایمیلی برای دریافت این نوع اطلاعات تنظیم کرده است.”
فایده چشم های زیاد
امروزه ایجاد اشکال در نرم افزار دیگران به عنوان یک تجارت قابل احترام در نظر گرفته می شود، اما همیشه اینطور نبوده است. جیمز مککویگان، مدافع آگاهی امنیتی در KnowBe4، ارائهدهنده آموزش آگاهی امنیتی در کلیرواتر، فلوریدا، مشاهده کرد: «در ابتدا مشکلات زیادی وجود داشت که شکارچیان باگ بوونتی آسیبپذیریها را پیدا میکردند.
“برنامه های هک اخلاقی بسیار موفق بوده اند. کیسی بیسون، رئیس روابط محصول و توسعهدهندگان در BluBracket، یک شرکت خدمات امنیت سایبری در منلو پارک، کالیفرنیا، افزود: دیدن گروههای باجافزاری که روشها و خدمات خود را در مواجهه با این رقابت اصلاح میکنند، تعجبآور نیست.
در بیشتر موارد، شکار پاداش حشرات برای اکثر این محققان کار پاره وقت است، به طوری که 54٪ شغل تمام وقت و 34٪ دیگر دانشجویان تمام وقت هستند.
او ادامه داد: «بازیگران تهدید همیشه در تلاش برای یافتن آسیبپذیریهای جدیدی هستند که میتوانند از آنها سوء استفاده کنند، و تهدید در امنیت سایبری فقط خصمانهتر شده است». «افزایش پاداشهای باگ راهی برای سازمانها است تا برخی از محققان مستقل را در بازی در کنار خود قرار دهند. این یک واکنش طبیعی به افزایش حملات پیچیده است.»
برنامه جایزه بازیگر بد
«محققان اغلب از این شکایت دارند که حتی زمانی که شرکتها یک برنامه افشای هماهنگ یا پاداش باگ دارند، بازپسگیری یا اصطکاک بیش از حد وجود دارد. آرچی آگاروال، بنیانگذار و مدیر عامل ThreatModeler، یک ارائه دهنده خودکار مدل سازی تهدیدات در جرسی سیتی، نیوجرسی، خاطرنشان کرد: آنها اغلب احساس می کنند که ناچیز شده اند یا تحت فشار قرار می گیرند.
او گفت: «این تغییر سیاست یک مانع نسبتاً اساسی را بر سر راه تحقیقات آسیبپذیری از بین میبرد، و ما میتوانیم امیدوار باشیم که به سرعت سود بیشتری را با افراد بیشتری که با حسن نیت به دنبال اشکال هستند، بدون تهدید به زندان برای انجام آن، پرداخت کند».
او به TechNewsWorld گفت: “من می دانم که اگر آسیب پذیری پیدا کنم، از آن برای زندانی کردن آنها استفاده می کنم.” “اگر مجرمی یکی را پیدا کند، برای سرقت از آنها است زیرا هیچ افتخاری در میان اپراتورهای باج افزار وجود ندارد.”