Поскольку преступная деятельность в Интернете продолжает ускоряться, поиск ошибок за наличные начал привлекать все больше и больше исследователей в области безопасности.
В своем последнем ежегодном отчете платформа Bug Bounty Интигрити показал, что количество аналитиков, подписавшихся на ее услуги, увеличилось на 43% с апреля 2021 года по апрель 2022 года. Только для Intigriti это означает добавление 50 000 исследователей.
По большей части, как отмечается, охота за ошибками является подработкой для большинства этих исследователей: 54% работают полный рабочий день, а еще 34% учатся на дневном отделении.
«Программы Bug Bounty весьма успешны как для организаций, так и для исследователей в области безопасности, — заметил Рэй Келли, сотрудник Белая шляпа безопасностипоставщика услуг по обеспечению безопасности приложений в Сан-Хосе, штат Калифорния, который недавно был приобретен Синопсис.
«Эффективные программы вознаграждения за обнаружение ошибок ограничивают влияние серьезных уязвимостей в системе безопасности, которые могли легко поставить под угрозу клиентскую базу организации», — сказал он TechNewsWorld.
«Выплаты за отчеты об ошибках иногда могут превышать шестизначные суммы, что может звучать как много», — сказал он. «Однако затраты организации на исправление и восстановление после уязвимости нулевого дня могут составить миллионы долларов упущенной выгоды».
«Добросовестность» награждена
Как будто не было достаточного стимула стать охотником за ошибками, Министерство юстиции США недавно подсластило карьерный путь, приняв политику, согласно которой оно не будет применять федеральный Закон о компьютерном мошенничестве и злоупотреблениях в отношении хакеров, которые, по его мнению, действуют «хорошо». вера» при попытке обнаружить недостатки в программном обеспечении и системах.
«Недавнее изменение политики, направленное на прекращение судебного преследования исследователей, приветствуется и давно назрело», — заявил Майк Паркин, старший технический инженер в Вулкан Киберпоставщик SaaS для устранения корпоративных киберрисков в Тель-Авиве, Израиль.
«Тот факт, что исследователи в течение многих лет пытались найти и помочь исправить бреши в системе безопасности при режиме, который сводился к тому, что «ни одно доброе дело не остается безнаказанным», свидетельствует о том, что они должны были поступать правильно, даже если это означало риск. штрафы и тюремное заключение», — сказал он TechNewsWorld.
«Это изменение политики устраняет довольно существенное препятствие для исследования уязвимостей, и мы можем надеяться, что оно быстро принесет дивиденды, так как больше людей будут добросовестно искать ошибки без угрозы тюремного заключения за это», — сказал он.
Сегодня поиск ошибок в чужом программном обеспечении считается респектабельным делом, но так было не всегда. «Изначально было много проблем, когда охотники за ошибками находили уязвимости», — заметил Джеймс МакКигган, защитник осведомленности о безопасности в ЗнайБе4организатор обучения по вопросам безопасности в Клируотере, штат Флорида.
«Организации сильно обиделись бы на это и попытались бы обвинить исследователя в том, что он обнаружил его, хотя на самом деле исследователь хотел помочь», — сказал он TechNewsWorld. «Отрасль признала это, и теперь есть адреса электронной почты, настроенные для получения такого рода информации».
Преимущество многих глаз
За прошедшие годы компании осознали преимущества, которые могут принести программы Bug Bounty. «Задача обнаружения и приоритизации уязвимых, непреднамеренных последствий не является и не должна быть в центре внимания ресурсов или усилий организации», — пояснил Кейси Эллис, технический директор и основатель Багкраудкоторая управляет краудсорсинговой платформой для поиска ошибок.
«В результате более масштабируемый и эффективный ответ на вопрос «где я, скорее всего, буду скомпрометирован в следующий раз» больше не считается приятным, а скорее обязательным», — сказал он TechNewsWorld. «Именно здесь вступают в игру программы поощрения за обнаружение ошибок».
«Программы Bug Bounty — это упреждающий способ устранения уязвимостей и поощрения чьей-то хорошей работы и осмотрительности», — добавил Дэвис Маккарти, главный исследователь безопасности в Валтикспоставщик облачных услуг сетевой безопасности в Санта-Кларе, Калифорния.
«Старая поговорка «много глаз делает всех жуков поверхностными» звучит правдоподобно, учитывая отсутствие таланта в этой области», — сказал он TechNewsWorld.
Паркин согласился. «Учитывая абсолютную сложность современного кода и множество взаимодействий между приложениями, крайне важно иметь более ответственный подход к поиску недостатков», — сказал он.
«Субъекты угроз всегда работают над поиском новых уязвимостей, которые они могут использовать, и угроза в кибербезопасности становится только более враждебной», — продолжил он. «Рост вознаграждений за ошибки — это способ для организаций привлечь на свою сторону независимых исследователей в игре. Это естественная реакция на увеличение изощренных атак».
Программа поощрения плохих актеров
Хотя программы поощрения за обнаружение ошибок получили большее признание среди предприятий, они все еще могут создавать трения внутри организаций.
«Исследователи часто жалуются, что даже когда фирмы имеют скоординированную программу раскрытия информации или вознаграждения за обнаружение ошибок, существует слишком много возражений или трений. Они часто чувствуют, что их обижают или отталкивают», — отметил Арчи Агарвал, основатель и генеральный директор ThreatModelerпоставщик автоматизированного моделирования угроз в Джерси-Сити, штат Нью-Джерси.
«Организации, со своей стороны, часто застревают, когда им предоставляется раскрытие информации, потому что исследователь обнаружил фатальный недостаток дизайна, для устранения которого потребуются месяцы согласованных усилий», — сказал он TechNewsWorld. «Возможно, некоторые предпочитают, чтобы такие недостатки оставались скрытыми от глаз».
«Усилия и затраты на исправление конструктивных недостатков после развертывания системы представляют собой серьезную проблему, — продолжил он. «Наилучший способ избежать этого — моделировать системы угроз по мере их создания и развития. Это дает организациям возможность заранее планировать и устранять эти недостатки в их потенциальной форме».
Вероятно, одним из величайших свидетельств эффективности программ вознаграждения за обнаружение ошибок является то, что злоумышленники начали перенимать эту практику. Банда вымогателей LockBit предлагает выплаты людям, обнаружившим уязвимости на их сайте утечки и в их коде.
«Эта разработка является новой, однако я сомневаюсь, что она найдет много сторонников», — предсказал Джон Бамбенек, главный охотник за угрозами в Нетенрихкомпания из Сан-Хосе, штат Калифорния, занимающаяся операциями в области ИТ и цифровой безопасности.
«Я знаю, что если я найду уязвимость, я использую ее, чтобы посадить их в тюрьму», — сказал он TechNewsWorld. «Если преступник найдет его, он украдет у них, потому что среди операторов программ-вымогателей нет чести».
«Программы этического взлома оказались чрезвычайно успешными. Неудивительно, что группы вымогателей совершенствуют свои методы и услуги перед лицом этой конкуренции», — добавил Кейси Биссон, руководитель отдела по связям с разработчиками и продуктами в BluBracketкомпания, предоставляющая услуги в области кибербезопасности, в Менло-Парке, Калифорния.
Он предупредил, что злоумышленники все чаще обнаруживают, что они могут купить доступ к компаниям и системам, которые они хотят атаковать.
«Это должно заставить каждое предприятие следить за безопасностью своей внутренней цепочки поставок, включая то, кто и что имеет доступ к их коду и любым секретам в нем», — сказал он TechNewsWorld. «Такие неэтичные программы вознаграждений превращают пароли и ключи в коде в золото для всех, кто имеет доступ к вашему коду».
