طرفداران امنیتی توسط Big Pay Days به امتیازات باگ اغوا می شوند


با افزایش سرعت فعالیت های مجرمانه در اینترنت، جستجوی حشرات برای پول نقد شروع به جذب بیشتر و بیشتر محققان امنیتی کرده است.

در آخرین گزارش سالانه خود، پلتفرم باگ بونتی یکپارچه نشان داد که تعداد تحلیلگرانی که برای خدمات آن ثبت‌نام کرده‌اند از آوریل 2021 تا آوریل 2022 43 درصد افزایش یافته است. تنها برای Intigriti، این به معنای اضافه شدن 50000 محقق است.

در بیشتر موارد، شکار پاداش حشرات برای اکثر این محققان کار پاره وقت است، به طوری که 54٪ شغل تمام وقت و 34٪ دیگر دانشجویان تمام وقت هستند.

ری کلی، همکار با امنیت WhiteHat، یک ارائه دهنده امنیت برنامه های کاربردی در سن خوزه، کالیفرنیا، که اخیرا توسط سینوپسیس.

او به TechNewsWorld گفت: «برنامه‌های پاداش باگ مؤثر تأثیر آسیب‌پذیری‌های امنیتی جدی را که می‌توانند به راحتی پایگاه مشتریان سازمان را در معرض خطر قرار دهند، محدود می‌کنند.

او گفت: «پرداخت گزارش‌های اشکال گاهی اوقات می‌تواند از مبالغ شش رقمی فراتر رود، که ممکن است زیاد به نظر برسد. با این حال، هزینه‌ای که برای یک سازمان برای اصلاح و بازیابی آسیب‌پذیری روز صفر می‌پردازد، می‌تواند میلیون‌ها دلار درآمد از دست داده باشد.

“حسن نیت” پاداش داده شد

همانطور که اگر انگیزه کافی برای تبدیل شدن به یک شکارچی باگ وجود نداشته باشد، وزارت دادگستری ایالات متحده اخیراً با اتخاذ سیاستی که بیان می کند قانون فدرال کلاهبرداری و سوء استفاده رایانه ای را علیه هکرهایی که به نظر آنها “خوب عمل می کنند” اجرا نمی کند، مسیر شغلی را شیرین کرده است. ایمان» هنگام تلاش برای کشف نقص در نرم افزار و سیستم.

مایک پارکین، مهندس فنی ارشد گفت: «تغییر سیاست‌های اخیر برای توقف تعقیب و تعقیب محققین خوش‌آمد و دیر شده است.» Vulcan Cyber، ارائه دهنده SaaS برای اصلاح ریسک سایبری سازمانی در تل آویو، اسرائیل.

این واقعیت که محققان سال‌ها تلاش کرده‌اند تا نقص‌های امنیتی را در رژیمی که به معنای «هیچ کار خیر بدون مجازات نمی‌ماند» پیدا کرده و به اصلاح آن کمک کنند، نشان‌دهنده تعهد آنها به انجام کار درست است، حتی اگر انجام کار درست به معنای خطر باشد. جریمه نقدی و زندان،” او به TechNewsWorld گفت.

او گفت: «این تغییر سیاست یک مانع نسبتاً اساسی را بر سر راه تحقیقات آسیب‌پذیری از بین می‌برد، و ما می‌توانیم امیدوار باشیم که به سرعت سود بیشتری را با افراد بیشتری که با حسن نیت به دنبال اشکال هستند، بدون تهدید به زندان برای انجام آن، پرداخت کند».

امروزه ایجاد اشکال در نرم افزار دیگران به عنوان یک تجارت قابل احترام در نظر گرفته می شود، اما همیشه اینطور نبوده است. جیمز مک‌کویگان، یکی از حامیان آگاهی امنیتی در این باره می‌گوید: «در ابتدا مشکلات زیادی وجود داشت که شکارچیان باگ بوونتی آسیب‌پذیری‌ها را پیدا می‌کردند. KnowBe4، یک ارائه دهنده آموزش آگاهی امنیتی در کلیرواتر، فلوریدا.

او به TechNewsWorld گفت: «سازمان‌ها به آن توهین زیادی می‌کنند، و سعی می‌کنند محقق را برای کشف آن متهم کنند، در حالی که در واقع، محقق می‌خواهد کمک کند». “صنعت این را تشخیص داده است و اکنون آدرس های ایمیلی برای دریافت این نوع اطلاعات تنظیم کرده است.”

فایده چشم های زیاد

در طول سال‌ها، شرکت‌ها به مزایایی که برنامه‌های پاداش باگ می‌تواند به همراه داشته باشد، متوجه شده‌اند. کیسی الیس، مدیر ارشد فناوری و بنیانگذار سازمان، توضیح داد: «وظیفه کشف و اولویت‌بندی پیامدهای آسیب‌پذیر و ناخواسته، تمرکز منابع یا تلاش‌های یک سازمان نیست و نباید باشد. شلوغی، که یک پلتفرم پاداش باگ جمع سپاری شده را اجرا می کند.

او به TechNewsWorld گفت: «در نتیجه، پاسخ مقیاس‌پذیرتر و مؤثرتر به این سؤال که «احتمال دارد در آینده در کجا به خطر بیفتم» دیگر به عنوان یک چیز خوب در نظر گرفته نمی‌شود، بلکه باید داشته باشد. “این جایی است که برنامه های پاداش باگ وارد بازی می شوند.”

دیویس مک کارتی، محقق امنیتی اصلی در این باره می‌افزاید: «برنامه‌های پاداش باگ روشی پیشگیرانه برای رفع آسیب‌پذیری‌ها و پاداش دادن به کار خوب و اختیار دیگران است. Valtix، ارائه دهنده خدمات امنیت شبکه بومی ابری در سانتا کلارا، کالیفرنیا.

او به TechNewsWorld گفت: «این ضرب المثل قدیمی که «چشم های زیادی همه حشرات را کم عمق می کنند»، با توجه به فقدان استعداد در این زمینه صادق است.

پارکین موافقت کرد. او گفت: «با پیچیدگی محض کدهای مدرن و تعاملات بی‌شمار بین برنامه‌ها، داشتن چشم‌های مسئولانه‌تر به دنبال عیوب حیاتی است.

او ادامه داد: «بازیگران تهدید همیشه در تلاش هستند تا آسیب‌پذیری‌های جدیدی را پیدا کنند که می‌توانند از آنها سوء استفاده کنند، و تهدید در امنیت سایبری تنها خصمانه‌تر شده است». «افزایش پاداش‌های باگ راهی برای سازمان‌ها است تا برخی از محققان مستقل را در بازی در کنار خود قرار دهند. این یک واکنش طبیعی به افزایش حملات پیچیده است.»

برنامه جایزه بازیگر بد

در حالی که برنامه‌های پاداش باگ در بین کسب‌وکارها مقبولیت بیشتری پیدا کرده‌اند، اما همچنان می‌توانند در سازمان‌ها اصطکاک ایجاد کنند.

«محققان اغلب از این شکایت دارند که حتی زمانی که شرکت‌ها یک برنامه افشای هماهنگ یا پاداش باگ دارند، بازپس‌گیری یا اصطکاک بیش از حد وجود دارد. آرچی آگاروال، بنیانگذار و مدیر عامل شرکت، خاطرنشان کرد: آن‌ها اغلب احساس می‌کنند که کم‌اهمیت شده‌اند یا تحت فشار قرار گرفته‌اند. ThreatModeler، یک ارائه دهنده خودکار مدل سازی تهدید در شهر جرسی، نیوجرسی

او به TechNewsWorld گفت: «سازمان‌ها، به نوبه خود، اغلب هنگام ارائه یک افشا گیر می‌کنند، زیرا محقق یک نقص طراحی کشنده را پیدا کرده است که برای کاهش آن به ماه‌ها تلاش هماهنگ نیاز دارد». «شاید برخی ترجیح می‌دهند که چنین نقص‌هایی دور از چشم بماند.»

او ادامه داد: “تلاش و هزینه برای رفع نقص های طراحی پس از استقرار یک سیستم یک چالش حیاتی است.” «راه قطعی برای جلوگیری از این امر، مدل‌سازی تهدید سیستم‌هایی است که ساخته می‌شوند و طراحی آن‌ها در حال تکامل است. این امر سازمان ها را به توانایی برنامه ریزی و مقابله با این نقص ها در شکل بالقوه آنها، فعالانه مجهز می کند.”

احتمالاً یکی از بزرگترین گواهی‌ها برای اثربخشی برنامه‌های پاداش باگ این است که بازیگران مخرب شروع به اتخاذ این عمل کرده‌اند. گروه باج‌افزار LockBit به افرادی که آسیب‌پذیری‌ها را در وب‌سایت لو رفته و کدشان کشف می‌کنند، پرداختی ارائه می‌کند.

جان بامبنک، شکارچی اصلی تهدیدها پیش‌بینی کرد: «این توسعه بدیع است، با این حال، من شک دارم که افراد زیادی را جذب کنند. Netenrich، یک شرکت عملیات فناوری اطلاعات و امنیت دیجیتال مستقر در سن خوزه، کالیفرنیا.

او به TechNewsWorld گفت: “من می دانم که اگر آسیب پذیری پیدا کنم، از آن برای زندانی کردن آنها استفاده می کنم.” “اگر مجرمی یکی را پیدا کند، برای سرقت از آنها است زیرا هیچ افتخاری در میان اپراتورهای باج افزار وجود ندارد.”

“برنامه های هک اخلاقی بسیار موفق بوده اند. کیسی بیسون، رئیس روابط محصول و توسعه دهندگان در این شرکت افزود: تعجبی ندارد که ببینیم گروه‌های باج‌افزار روش‌ها و خدمات خود را در برابر این رقابت اصلاح می‌کنند. بلوبراکت، یک شرکت خدمات امنیت سایبری در منلو پارک، کالیفرنیا.

او هشدار داد که مهاجمان به طور فزاینده‌ای درمی‌یابند که می‌توانند به شرکت‌ها و سیستم‌هایی که می‌خواهند حمله کنند، دسترسی داشته باشند.

او به TechNewsWorld گفت: “این باید هر شرکتی را به امنیت زنجیره تامین داخلی خود، از جمله اینکه چه کسی و چه چیزی به کد آنها دسترسی دارد، و هر گونه اسرار موجود در آن نگاه کند.” برنامه‌های جایزه غیراخلاقی مانند این رمز عبور و کلیدهای کد را برای هر کسی که به کد شما دسترسی دارد به طلا تبدیل می‌کند.


منبع: https://www.technewsworld.com/story/security-pros-lured-to-bug-bounties-by-big-pay-days-176875.html?rss=1