متخصصان امنیتی با روزهای پرداخت بزرگ به جوایزی جذب میشوند

از آنجایی که فعالیت های مجرمانه در اینترنت به سرعت در حال افزایش است، جستجوی اشکالات برای پول نقد شروع به جذب بیشتر و بیشتر محققان امنیتی می کند.
در آخرین گزارش سالانه خود، پلتفرم پاداش باگ Intigriti فاش کرد که تعداد تحلیلگرانی که برای خدمات آن ثبت نام کرده اند، از آوریل 2021 تا آوریل 2022، 43 درصد افزایش یافته است. تنها برای Intigriti، این به معنای اضافه شدن 50000 محقق است.
در اکثر موارد، این مطالعه نشان داد که جویای پاداش برای اکثر این محققان یک شغل پاره وقت است، به طوری که 54٪ تمام وقت و 34٪ دیگر تمام وقت کار می کنند.
Ray Kelly، یکی از همکاران WhiteHat Security، ارائهدهنده امنیت برنامه در سن خوزه، کالیفرنیا، که اخیراً توسط Synopsys خریداری شد، خاطرنشان میکند: «برنامههای پاداش باگ هم برای سازمانها و هم برای محققان امنیتی بسیار موفق هستند.
او به TechNewsWorld گفت: «برنامههای پاداش باگ مؤثر تأثیر آسیبپذیریهای حیاتی را کاهش میدهند که به راحتی میتوانند پایگاه مشتریان یک شرکت را در معرض خطر قرار دهند».
او گفت: «پرداختهای گزارش خطا گاهی میتواند از مبالغ شش رقمی فراتر رود که میتواند بسیار زیاد به نظر برسد. با این حال، هزینهای که برای یک سازمان برای تعمیر و بازیابی آسیبپذیری روز صفر وارد میشود، میتواند به میلیونها دلار درآمد از دست رفته برسد.»
پاداش “خوبیت”.
گویی انگیزه کافی برای تبدیل شدن به یک شکارچی اشکال وجود نداشت، وزارت دادگستری ایالات متحده اخیراً مسیر شغلی خود را با اتخاذ سیاستی بهبود بخشیده است که بیان میکند قانون فدرال کلاهبرداری و سوء استفاده رایانهای را علیه هکرهایی که بهعنوان عمل میکنند، اجرا نخواهد کرد. با حسن نیت” هنگام تلاش برای کشف نقص در برنامه ها و سیستم ها.
مایک بارکین، مهندس فنی ارشد در Vulcan Cyber، ارائهدهنده SaaS برای رسیدگی به خطرات سایبری شرکتی در تلآویو، اسرائیل، تاکید کرد: «تغییر اخیر در سیاست برای متوقف کردن تعقیب تحقیقاتی محققان خوشآمد است و مدتها دیر شده است».
این واقعیت که محققان سالها تلاش کردهاند آسیبپذیریها را در سیستمی بیابند و به اصلاح آنها کمک کنند که «هیچ عمل خوبی بدون مجازات نمیماند» نشاندهنده تعهد آنها به انجام کار درست است، حتی اگر انجام کار درست به معنای ریسک کردن باشد. او به TechNewsWorld گفت.
او گفت: «این تغییر در سیاست، مانع نسبتاً مهمی را برای تحقیقات آسیبپذیری برطرف میکند، و ما میتوانیم امیدوار باشیم که با افراد بیشتری که با حسن نیت به دنبال اشکال هستند، بدون تهدید به زندان برای انجام این کار، به سرعت به سوددهی تبدیل شود».
امروزه، شناسایی اشکالات در نرم افزار دیگران یک تجارت قابل احترام است، اما همیشه اینطور نبود. جیمز مککویگان، حامی آگاهی امنیتی در KnowBe4، یک ارائهدهنده آموزش آگاهی امنیتی در کلیرواتر، فلوریدا، خاطرنشان کرد: «در ابتدا هنگام کشف حفرههای امنیتی توسط شکارچیان جایزه، مشکلات زیادی وجود داشت.
او به TechNewsWorld گفت: «سازمانها با سوء استفاده قابل توجهی مواجه خواهند شد و تلاش خواهند کرد تا از محقق برای کشف اینکه چه زمانی محقق میخواهد کمک کند، هزینه کنند. صنعت این را تشخیص داده است و اکنون آدرس های ایمیلی برای دریافت این نوع اطلاعات تنظیم کرده است.
به چشم های زیادی ضربه بزنید
در طول سالها، شرکتها به مزایایی که برنامههای پاداش باگ میتواند به همراه داشته باشد، متوجه شدهاند. کیسی الیس، مدیر ارشد فناوری و بنیانگذار Bugcrowd که مدیریت…