متخصصان امنیتی با روزهای پرداخت بزرگ به جوایزی جذب می‌شوند

از آنجایی که فعالیت های مجرمانه در اینترنت به سرعت در حال افزایش است، جستجوی اشکالات برای پول نقد شروع به جذب بیشتر و بیشتر محققان امنیتی می کند.

در آخرین گزارش سالانه خود، پلتفرم پاداش باگ Intigriti فاش کرد که تعداد تحلیلگرانی که برای خدمات آن ثبت نام کرده اند، از آوریل 2021 تا آوریل 2022، 43 درصد افزایش یافته است. تنها برای Intigriti، این به معنای اضافه شدن 50000 محقق است.

در اکثر موارد، این مطالعه نشان داد که جویای پاداش برای اکثر این محققان یک شغل پاره وقت است، به طوری که 54٪ تمام وقت و 34٪ دیگر تمام وقت کار می کنند.

Ray Kelly، یکی از همکاران WhiteHat Security، ارائه‌دهنده امنیت برنامه در سن خوزه، کالیفرنیا، که اخیراً توسط Synopsys خریداری شد، خاطرنشان می‌کند: «برنامه‌های پاداش باگ هم برای سازمان‌ها و هم برای محققان امنیتی بسیار موفق هستند.

او به TechNewsWorld گفت: «برنامه‌های پاداش باگ مؤثر تأثیر آسیب‌پذیری‌های حیاتی را کاهش می‌دهند که به راحتی می‌توانند پایگاه مشتریان یک شرکت را در معرض خطر قرار دهند».

او گفت: «پرداخت‌های گزارش خطا گاهی می‌تواند از مبالغ شش رقمی فراتر رود که می‌تواند بسیار زیاد به نظر برسد. با این حال، هزینه‌ای که برای یک سازمان برای تعمیر و بازیابی آسیب‌پذیری روز صفر وارد می‌شود، می‌تواند به میلیون‌ها دلار درآمد از دست رفته برسد.»

پاداش “خوبیت”.

گویی انگیزه کافی برای تبدیل شدن به یک شکارچی اشکال وجود نداشت، وزارت دادگستری ایالات متحده اخیراً مسیر شغلی خود را با اتخاذ سیاستی بهبود بخشیده است که بیان می‌کند قانون فدرال کلاهبرداری و سوء استفاده رایانه‌ای را علیه هکرهایی که به‌عنوان عمل می‌کنند، اجرا نخواهد کرد. با حسن نیت” هنگام تلاش برای کشف نقص در برنامه ها و سیستم ها.

مایک بارکین، مهندس فنی ارشد در Vulcan Cyber، ارائه‌دهنده SaaS برای رسیدگی به خطرات سایبری شرکتی در تل‌آویو، اسرائیل، تاکید کرد: «تغییر اخیر در سیاست برای متوقف کردن تعقیب تحقیقاتی محققان خوش‌آمد است و مدت‌ها دیر شده است».

این واقعیت که محققان سال‌ها تلاش کرده‌اند آسیب‌پذیری‌ها را در سیستمی بیابند و به اصلاح آن‌ها کمک کنند که «هیچ عمل خوبی بدون مجازات نمی‌ماند» نشان‌دهنده تعهد آنها به انجام کار درست است، حتی اگر انجام کار درست به معنای ریسک کردن باشد. او به TechNewsWorld گفت.

او گفت: «این تغییر در سیاست، مانع نسبتاً مهمی را برای تحقیقات آسیب‌پذیری برطرف می‌کند، و ما می‌توانیم امیدوار باشیم که با افراد بیشتری که با حسن نیت به دنبال اشکال هستند، بدون تهدید به زندان برای انجام این کار، به سرعت به سوددهی تبدیل شود».

امروزه، شناسایی اشکالات در نرم افزار دیگران یک تجارت قابل احترام است، اما همیشه اینطور نبود. جیمز مک‌کویگان، حامی آگاهی امنیتی در KnowBe4، یک ارائه‌دهنده آموزش آگاهی امنیتی در کلیرواتر، فلوریدا، خاطرنشان کرد: «در ابتدا هنگام کشف حفره‌های امنیتی توسط شکارچیان جایزه، مشکلات زیادی وجود داشت.

او به TechNewsWorld گفت: «سازمان‌ها با سوء استفاده قابل توجهی مواجه خواهند شد و تلاش خواهند کرد تا از محقق برای کشف اینکه چه زمانی محقق می‌خواهد کمک کند، هزینه کنند. صنعت این را تشخیص داده است و اکنون آدرس های ایمیلی برای دریافت این نوع اطلاعات تنظیم کرده است.

به چشم های زیادی ضربه بزنید

در طول سال‌ها، شرکت‌ها به مزایایی که برنامه‌های پاداش باگ می‌تواند به همراه داشته باشد، متوجه شده‌اند. کیسی الیس، مدیر ارشد فناوری و بنیانگذار Bugcrowd که مدیریت…