با افزایش سرعت فعالیت های مجرمانه در اینترنت، جستجوی حشرات برای پول نقد شروع به جذب بیشتر و بیشتر محققان امنیتی کرده است.
در آخرین گزارش سالانه خود، پلتفرم باگ بونتی یکپارچه نشان داد که تعداد تحلیلگرانی که برای خدمات آن ثبتنام کردهاند از آوریل 2021 تا آوریل 2022 43 درصد افزایش یافته است. تنها برای Intigriti، این به معنای اضافه شدن 50000 محقق است.
در بیشتر موارد، شکار پاداش حشرات برای اکثر این محققان کار پاره وقت است، به طوری که 54٪ شغل تمام وقت و 34٪ دیگر دانشجویان تمام وقت هستند.
ری کلی، همکار با امنیت WhiteHat، یک ارائه دهنده امنیت برنامه های کاربردی در سن خوزه، کالیفرنیا، که اخیرا توسط سینوپسیس.
او به TechNewsWorld گفت: «برنامههای پاداش باگ مؤثر تأثیر آسیبپذیریهای امنیتی جدی را که میتوانند به راحتی پایگاه مشتریان سازمان را در معرض خطر قرار دهند، محدود میکنند.
او گفت: «پرداخت گزارشهای اشکال گاهی اوقات میتواند از مبالغ شش رقمی فراتر رود، که ممکن است زیاد به نظر برسد. با این حال، هزینهای که برای یک سازمان برای اصلاح و بازیابی آسیبپذیری روز صفر میپردازد، میتواند میلیونها دلار درآمد از دست داده باشد.
“حسن نیت” پاداش داده شد
همانطور که اگر انگیزه کافی برای تبدیل شدن به یک شکارچی باگ وجود نداشته باشد، وزارت دادگستری ایالات متحده اخیراً با اتخاذ سیاستی که بیان می کند قانون فدرال کلاهبرداری و سوء استفاده رایانه ای را علیه هکرهایی که به نظر آنها “خوب عمل می کنند” اجرا نمی کند، مسیر شغلی را شیرین کرده است. ایمان» هنگام تلاش برای کشف نقص در نرم افزار و سیستم.
مایک پارکین، مهندس فنی ارشد گفت: «تغییر سیاستهای اخیر برای توقف تعقیب و تعقیب محققین خوشآمد و دیر شده است.» Vulcan Cyber، ارائه دهنده SaaS برای اصلاح ریسک سایبری سازمانی در تل آویو، اسرائیل.
این واقعیت که محققان سالها تلاش کردهاند تا نقصهای امنیتی را در رژیمی که به معنای «هیچ کار خیر بدون مجازات نمیماند» پیدا کرده و به اصلاح آن کمک کنند، نشاندهنده تعهد آنها به انجام کار درست است، حتی اگر انجام کار درست به معنای خطر باشد. جریمه نقدی و زندان،” او به TechNewsWorld گفت.
او گفت: «این تغییر سیاست یک مانع نسبتاً اساسی را بر سر راه تحقیقات آسیبپذیری از بین میبرد، و ما میتوانیم امیدوار باشیم که به سرعت سود بیشتری را با افراد بیشتری که با حسن نیت به دنبال اشکال هستند، بدون تهدید به زندان برای انجام آن، پرداخت کند».
امروزه ایجاد اشکال در نرم افزار دیگران به عنوان یک تجارت قابل احترام در نظر گرفته می شود، اما همیشه اینطور نبوده است. جیمز مککویگان، یکی از حامیان آگاهی امنیتی در این باره میگوید: «در ابتدا مشکلات زیادی وجود داشت که شکارچیان باگ بوونتی آسیبپذیریها را پیدا میکردند. KnowBe4، یک ارائه دهنده آموزش آگاهی امنیتی در کلیرواتر، فلوریدا.
او به TechNewsWorld گفت: «سازمانها به آن توهین زیادی میکنند، و سعی میکنند محقق را برای کشف آن متهم کنند، در حالی که در واقع، محقق میخواهد کمک کند». “صنعت این را تشخیص داده است و اکنون آدرس های ایمیلی برای دریافت این نوع اطلاعات تنظیم کرده است.”
فایده چشم های زیاد
در طول سالها، شرکتها به مزایایی که برنامههای پاداش باگ میتواند به همراه داشته باشد، متوجه شدهاند. کیسی الیس، مدیر ارشد فناوری و بنیانگذار سازمان، توضیح داد: «وظیفه کشف و اولویتبندی پیامدهای آسیبپذیر و ناخواسته، تمرکز منابع یا تلاشهای یک سازمان نیست و نباید باشد. شلوغی، که یک پلتفرم پاداش باگ جمع سپاری شده را اجرا می کند.
او به TechNewsWorld گفت: «در نتیجه، پاسخ مقیاسپذیرتر و مؤثرتر به این سؤال که «احتمال دارد در آینده در کجا به خطر بیفتم» دیگر به عنوان یک چیز خوب در نظر گرفته نمیشود، بلکه باید داشته باشد. “این جایی است که برنامه های پاداش باگ وارد بازی می شوند.”
دیویس مک کارتی، محقق امنیتی اصلی در این باره میافزاید: «برنامههای پاداش باگ روشی پیشگیرانه برای رفع آسیبپذیریها و پاداش دادن به کار خوب و اختیار دیگران است. Valtix، ارائه دهنده خدمات امنیت شبکه بومی ابری در سانتا کلارا، کالیفرنیا.
او به TechNewsWorld گفت: «این ضرب المثل قدیمی که «چشم های زیادی همه حشرات را کم عمق می کنند»، با توجه به فقدان استعداد در این زمینه صادق است.
پارکین موافقت کرد. او گفت: «با پیچیدگی محض کدهای مدرن و تعاملات بیشمار بین برنامهها، داشتن چشمهای مسئولانهتر به دنبال عیوب حیاتی است.
او ادامه داد: «بازیگران تهدید همیشه در تلاش هستند تا آسیبپذیریهای جدیدی را پیدا کنند که میتوانند از آنها سوء استفاده کنند، و تهدید در امنیت سایبری تنها خصمانهتر شده است». «افزایش پاداشهای باگ راهی برای سازمانها است تا برخی از محققان مستقل را در بازی در کنار خود قرار دهند. این یک واکنش طبیعی به افزایش حملات پیچیده است.»
برنامه جایزه بازیگر بد
در حالی که برنامههای پاداش باگ در بین کسبوکارها مقبولیت بیشتری پیدا کردهاند، اما همچنان میتوانند در سازمانها اصطکاک ایجاد کنند.
«محققان اغلب از این شکایت دارند که حتی زمانی که شرکتها یک برنامه افشای هماهنگ یا پاداش باگ دارند، بازپسگیری یا اصطکاک بیش از حد وجود دارد. آرچی آگاروال، بنیانگذار و مدیر عامل شرکت، خاطرنشان کرد: آنها اغلب احساس میکنند که کماهمیت شدهاند یا تحت فشار قرار گرفتهاند. ThreatModeler، یک ارائه دهنده خودکار مدل سازی تهدید در شهر جرسی، نیوجرسی
او به TechNewsWorld گفت: «سازمانها، به نوبه خود، اغلب هنگام ارائه یک افشا گیر میکنند، زیرا محقق یک نقص طراحی کشنده را پیدا کرده است که برای کاهش آن به ماهها تلاش هماهنگ نیاز دارد». «شاید برخی ترجیح میدهند که چنین نقصهایی دور از چشم بماند.»
او ادامه داد: “تلاش و هزینه برای رفع نقص های طراحی پس از استقرار یک سیستم یک چالش حیاتی است.” «راه قطعی برای جلوگیری از این امر، مدلسازی تهدید سیستمهایی است که ساخته میشوند و طراحی آنها در حال تکامل است. این امر سازمان ها را به توانایی برنامه ریزی و مقابله با این نقص ها در شکل بالقوه آنها، فعالانه مجهز می کند.”
احتمالاً یکی از بزرگترین گواهیها برای اثربخشی برنامههای پاداش باگ این است که بازیگران مخرب شروع به اتخاذ این عمل کردهاند. گروه باجافزار LockBit به افرادی که آسیبپذیریها را در وبسایت لو رفته و کدشان کشف میکنند، پرداختی ارائه میکند.
جان بامبنک، شکارچی اصلی تهدیدها پیشبینی کرد: «این توسعه بدیع است، با این حال، من شک دارم که افراد زیادی را جذب کنند. Netenrich، یک شرکت عملیات فناوری اطلاعات و امنیت دیجیتال مستقر در سن خوزه، کالیفرنیا.
او به TechNewsWorld گفت: “من می دانم که اگر آسیب پذیری پیدا کنم، از آن برای زندانی کردن آنها استفاده می کنم.” “اگر مجرمی یکی را پیدا کند، برای سرقت از آنها است زیرا هیچ افتخاری در میان اپراتورهای باج افزار وجود ندارد.”
“برنامه های هک اخلاقی بسیار موفق بوده اند. کیسی بیسون، رئیس روابط محصول و توسعه دهندگان در این شرکت افزود: تعجبی ندارد که ببینیم گروههای باجافزار روشها و خدمات خود را در برابر این رقابت اصلاح میکنند. بلوبراکت، یک شرکت خدمات امنیت سایبری در منلو پارک، کالیفرنیا.
او هشدار داد که مهاجمان به طور فزایندهای درمییابند که میتوانند به شرکتها و سیستمهایی که میخواهند حمله کنند، دسترسی داشته باشند.
او به TechNewsWorld گفت: “این باید هر شرکتی را به امنیت زنجیره تامین داخلی خود، از جمله اینکه چه کسی و چه چیزی به کد آنها دسترسی دارد، و هر گونه اسرار موجود در آن نگاه کند.” برنامههای جایزه غیراخلاقی مانند این رمز عبور و کلیدهای کد را برای هر کسی که به کد شما دسترسی دارد به طلا تبدیل میکند.
منبع: https://www.technewsworld.com/story/security-pros-lured-to-bug-bounties-by-big-pay-days-176875.html?rss=1