طرفداران امنیتی توسط Big Pay Days به امتیازات باگ اغوا می شوند

از

او به TechNewsWorld گفت: «در نتیجه، پاسخ مقیاس‌پذیرتر و مؤثرتر به این سؤال که «به احتمال زیاد در آینده در کجا قرار می‌گیرم» دیگر به عنوان یک چیز خوب در نظر گرفته نمی‌شود، بلکه باید داشته باشد. “این جایی است که برنامه های پاداش باگ وارد بازی می شوند.”

با افزایش سرعت فعالیت های مجرمانه در اینترنت، جستجوی حشرات برای پول نقد شروع به جذب بیشتر و بیشتر محققان امنیتی کرده است.

او به TechNewsWorld گفت: «سازمان‌ها، به نوبه خود، اغلب هنگام ارائه یک افشا گیر می‌کنند، زیرا محقق یک نقص طراحی کشنده را پیدا کرده است که برای کاهش آن به ماه‌ها تلاش هماهنگ نیاز دارد». «شاید برخی ترجیح می‌دهند که چنین نقص‌هایی دور از چشم بماند.»



منبع

دیویس مک کارتی، محقق امنیتی اصلی در Valtix، ارائه‌دهنده خدمات امنیت شبکه بومی ابری در سانتا کلارا، کالیفرنیا، اضافه کرد: «برنامه‌های پاداش باگ روشی پیشگیرانه برای رفع آسیب‌پذیری‌ها و پاداش دادن به کار خوب و صلاحدید دیگران هستند.

مایک پارکین، مهندس فنی ارشد در Vulcan Cyber، ارائه‌دهنده SaaS برای اصلاح خطرات سایبری سازمانی در تل‌آویو، اسرائیل، اظهار داشت: «تغییر سیاست اخیر برای توقف پیگرد قانونی محققان خوش‌آمد و دیر شده است».

تبلیغات

به سمت برتری دیجیتال قدم بردارید

در آخرین گزارش سالانه خود، پلتفرم پاداش باگ Intigriti فاش کرد که تعداد تحلیلگرانی که برای خدمات آن ثبت نام کرده اند، از آوریل 2021 تا آوریل 2022، 43 درصد افزایش یافته است. تنها برای Intigriti، این به معنای اضافه شدن 50000 محقق است.

او گفت: «پرداخت گزارش‌های اشکال گاهی اوقات می‌تواند از مبالغ شش رقمی فراتر رود، که ممکن است زیاد به نظر برسد. با این حال، هزینه‌ای که برای یک سازمان برای اصلاح و بازیابی آسیب‌پذیری روز صفر می‌پردازد، می‌تواند میلیون‌ها دلار درآمد از دست داده باشد.

“حسن نیت” پاداش داده شد

ری کلی، یکی از همکاران WhiteHat Security، ارائه‌دهنده امنیت برنامه‌های کاربردی در سن خوزه، کالیفرنیا، که اخیراً توسط Synopsys خریداری شده است، اظهار داشت: «برنامه‌های پاداش باگ هم برای سازمان‌ها و هم برای محققان امنیتی کاملاً موفق هستند.

او ادامه داد: “تلاش و هزینه برای رفع نقص های طراحی پس از استقرار یک سیستم یک چالش حیاتی است.” «راه قطعی برای جلوگیری از این امر، مدل‌سازی تهدید سیستم‌هایی است که ساخته می‌شوند و طراحی آن‌ها در حال تکامل است. این امر سازمان ها را به توانایی برنامه ریزی و مقابله با این نقص ها در شکل بالقوه آنها، فعالانه مجهز می کند.”

این واقعیت که محققان سال‌ها تلاش کرده‌اند تا نقص‌های امنیتی را در رژیمی که به معنای «هیچ کار خیر بدون مجازات نمی‌ماند» پیدا کرده و به اصلاح آن کمک کنند، نشان‌دهنده تعهد آنها به انجام کار درست است، حتی اگر انجام کار درست به معنای خطر باشد. جریمه نقدی و زندان،” او به TechNewsWorld گفت.

در حالی که برنامه‌های پاداش باگ در بین کسب‌وکارها مقبولیت بیشتری پیدا کرده‌اند، اما همچنان می‌توانند در سازمان‌ها اصطکاک ایجاد کنند.

او به TechNewsWorld گفت: «این ضرب المثل قدیمی که «چشم های زیادی همه حشرات را کم عمق می کنند»، با توجه به فقدان استعداد در این زمینه صادق است.

احتمالاً یکی از بزرگترین گواهی‌ها برای اثربخشی برنامه‌های پاداش باگ این است که بازیگران مخرب شروع به اتخاذ این عمل کرده‌اند. گروه باج‌افزار LockBit به افرادی که آسیب‌پذیری‌ها را در وب‌سایت لو رفته و کدشان کشف می‌کنند، پرداختی ارائه می‌کند.

او هشدار داد که مهاجمان به طور فزاینده‌ای درمی‌یابند که می‌توانند به شرکت‌ها و سیستم‌هایی که می‌خواهند حمله کنند، دسترسی داشته باشند.

او به TechNewsWorld گفت: «سازمان‌ها نسبت به آن توهین بزرگی می‌کنند، و سعی می‌کنند محقق را برای کشف آن متهم کنند، در حالی که در واقع، محقق می‌خواست کمک کند». “صنعت این را تشخیص داده است و اکنون آدرس های ایمیلی برای دریافت این نوع اطلاعات تنظیم کرده است.”

فایده چشم های زیاد

امروزه ایجاد اشکال در نرم افزار دیگران به عنوان یک تجارت قابل احترام در نظر گرفته می شود، اما همیشه اینطور نبوده است. جیمز مک‌کویگان، مدافع آگاهی امنیتی در KnowBe4، ارائه‌دهنده آموزش آگاهی امنیتی در کلیرواتر، فلوریدا، مشاهده کرد: «در ابتدا مشکلات زیادی وجود داشت که شکارچیان باگ بوونتی آسیب‌پذیری‌ها را پیدا می‌کردند.

“برنامه های هک اخلاقی بسیار موفق بوده اند. کیسی بیسون، رئیس روابط محصول و توسعه‌دهندگان در BluBracket، یک شرکت خدمات امنیت سایبری در منلو پارک، کالیفرنیا، افزود: دیدن گروه‌های باج‌افزاری که روش‌ها و خدمات خود را در مواجهه با این رقابت اصلاح می‌کنند، تعجب‌آور نیست.

در بیشتر موارد، شکار پاداش حشرات برای اکثر این محققان کار پاره وقت است، به طوری که 54٪ شغل تمام وقت و 34٪ دیگر دانشجویان تمام وقت هستند.

او ادامه داد: «بازیگران تهدید همیشه در تلاش برای یافتن آسیب‌پذیری‌های جدیدی هستند که می‌توانند از آنها سوء استفاده کنند، و تهدید در امنیت سایبری فقط خصمانه‌تر شده است». «افزایش پاداش‌های باگ راهی برای سازمان‌ها است تا برخی از محققان مستقل را در بازی در کنار خود قرار دهند. این یک واکنش طبیعی به افزایش حملات پیچیده است.»

برنامه جایزه بازیگر بد

«محققان اغلب از این شکایت دارند که حتی زمانی که شرکت‌ها یک برنامه افشای هماهنگ یا پاداش باگ دارند، بازپس‌گیری یا اصطکاک بیش از حد وجود دارد. آرچی آگاروال، بنیانگذار و مدیر عامل ThreatModeler، یک ارائه دهنده خودکار مدل سازی تهدیدات در جرسی سیتی، نیوجرسی، خاطرنشان کرد: آنها اغلب احساس می کنند که ناچیز شده اند یا تحت فشار قرار می گیرند.

او گفت: «این تغییر سیاست یک مانع نسبتاً اساسی را بر سر راه تحقیقات آسیب‌پذیری از بین می‌برد، و ما می‌توانیم امیدوار باشیم که به سرعت سود بیشتری را با افراد بیشتری که با حسن نیت به دنبال اشکال هستند، بدون تهدید به زندان برای انجام آن، پرداخت کند».

او به TechNewsWorld گفت: “من می دانم که اگر آسیب پذیری پیدا کنم، از آن برای زندانی کردن آنها استفاده می کنم.” “اگر مجرمی یکی را پیدا کند، برای سرقت از آنها است زیرا هیچ افتخاری در میان اپراتورهای باج افزار وجود ندارد.”