تعلن وزارة الدفاع عن إطلاق برنامج جديد لمكافأة الأخطاء
أعلنت وزارة الدفاع ( DoD ) اليوم أن رئيس مكتب الذكاء الرقمي والاصطناعي (CDAO) ومديرية الخدمات الرقمية ومركز مكافحة الجرائم الإلكترونية التابع لوزارة الدفاع (DC3) يطلقون برنامج المكافآت “Hack US “.
سيقدم البرنامج مكافآت مالية للمتسللين الأخلاقيين والباحثين الأمنيين الذين يمكنهم تحديد نقاط الضعف الحرجة وشديدة الخطورة في نطاق برنامج الكشف عن الثغرات الأمنية لوزارة الدفاع.
لتشجيع الباحثين على المشاركة، ستقدم وزارة الدفاع مبلغًا إجماليًا قدره 110،000 دولار للكشف عن الثغرات الأمنية.
تتراوح المدفوعات بين 1000 دولار أمريكي لتقارير الخطورة الحرجة، و500 دولار أمريكي لتقارير الخطورة العالية، و3000 دولار أمريكي لتلك الموجودة في فئات خاصة إضافية.
لا يأتي قرار وزارة الدفاع بإطلاق مكافأة الأخطاء فقط في الوقت الذي اختتمت فيه وزارة الدفاع وHackerOne طيارًا مدته 12 شهرًا كجزء من برنامج الكشف عن نقاط الضعف في قاعدة الدفاع الصناعية (DIB-VDP)، ولكن أيضًا مع إدراك المزيد من المنظمات أن سطح الهجوم لديه توسعت إلى الحد الذي لا تستطيع فيه فرق الأمن مواكبة ذلك.
لماذا تكتسب مكافآت الأخطاء الزخم
أحد القوى الدافعة الرئيسية وراء الاهتمام المتزايد بمكافآت الأخطاء هو العدد الكبير من نقاط الضعف الموجودة في بيئات المؤسسات الحديثة.
تشير الأبحاث إلى أن المنظمة المتوسطة لديها ما يقرب من 31،066 ثغرة أمنية في سطح الهجوم، وهو رقم لا يستطيع فريق الأمن الداخلي الصغير التخفيف منه بمفرده، حتى لو كان لديهم إمكانية الوصول إلى أحدث أدوات إدارة الثغرات الأمنية أو أدوات إدارة سطح الهجوم.
نظرًا للعدد الكبير من نقاط الضعف، فليس من المستغرب أن تبلغ 44٪ من المؤسسات أنها تفتقر إلى الثقة في قدرتها على معالجة المخاطر التي تسببها فجوة مقاومة الهجوم.
توفر مكافآت الأخطاء إجابة لهذا التحدي، من خلال تزويد فرق الأمان بإمكانية الوصول إلى الدعم من جيش من الباحثين الأمنيين الذين يمكنهم المساعدة في توفير الدعم من خلال تحديد نقاط الضعف، والتوصية بالإصلاحات.
قال كيسي إليس، مؤسس وCTO في Bugcrowd.
قال إليس: “كان الأشخاص الجيدون في DoD DC3 يديرون برنامج الكشف عن الثغرات الأمنية لسنوات عديدة بجهد كبير ونجاح، لذا فإن رؤيتهم” ترقية “إلى برنامج مكافآت الأخطاء المدفوعة أمر منطقي للغاية”.
بالطبع وزارة الدفاع ليست وحدها في تبني الأمن السيبراني الجماعي، حيث تقوم مؤسسات مثل Microsoft و Google و Apple و Meta و Samsung جميعًا بتجربة برامج مكافآت الثغرات الأمنية لضمان أمن أنظمتها ومنتجاتها النهائية.
حركة مكافأة علة
وفقًا للباحثين، فإن سوق مكافآت الأخطاء البرمجية العالمية في حالة نمو، حيث بلغت قيمتها 223.1 مليون دولار في عام 2020، ومن المتوقع أن تصل إلى 5465.5 مليون دولار بحلول عام 2027.
في الأشهر الـ 12 الماضية وحدها، تمتعت سوق مكافآت الأخطاء بنشاط استثماري كبير، حيث ورد أن منظمات مكافأة الأخطاء مثل HackerOne جمعت 49 مليون دولار من التمويل ، وجمعت Intigriti التي تتخذ من بلجيكا مقراً لها 23 مليون دولار كجزء من سلسلة B Round ومنصة Web3 bug bounty جمعت Immunefi مبلغ 5.5 مليون دولار كتمويل أولي.
في الوقت نفسه، أطلق مزودون آخرون أيضًا مبادرات بحث جماعية جديدة، مثل 1Password، التي أعلنت عن إطلاق مكافأة خطأ بقيمة مليون دولار حتى أبريل (نيسان) دفع 103 ألف دولار للباحثين.
هذه الحلول تجذب اهتمام المستثمرين. قال راي كيلي، الزميل في مجموعة سينوبسيس سوفتجريتي جروب: “تحد برامج مكافآت الأخطاء الفعالة من تأثير الثغرات الأمنية الخطيرة التي كان من الممكن أن تترك بسهولة قاعدة عملاء المؤسسة في خطر”.
“قد تتجاوز مدفوعات تقارير الأخطاء أحيانًا ستة مبالغ، والتي قد تبدو كثيرة. ومع ذلك، فإن التكلفة التي تتكبدها منظمة ما لإصلاح وتعافي ثغرة يوم الصفر يمكن أن تصل إلى ملايين الدولارات من العائدات المفقودة، “قال كيلي.
على الجانب الآخر من السياج، حتى العصابات الإلكترونية سيئة السمعة مثل LockBit تقوم بتجربة مكافآت الأخطاء، وتطلب من الباحثين والمتسللين تقديم معلومات تحديد الهوية الشخصية على الأفراد البارزين واستغلال الويب مقابل أجر يصل إلى مليون دولار.
سوق مكافأة الأخطاء: أفضل اللاعبين والمفاضلين الرئيسيين
في هذه المرحلة من نمو السوق، يعد HackerOne أحد المزودين الرائدين، والذي لا يقوم فقط ببناء علاقة وثيقة مع وزارة الدفاع ولكنه أيضًا جمع 160 مليون دولار من إجمالي التمويل حتى الآن، ويحافظ على مجتمع يضم أكثر من 1،000،000 من المتسللين الأخلاقيين الذين لديهم تم حل أكثر من 294000 خطأ حتى الآن.
يوفر HackerOne نظامًا أساسيًا لمكافأة الأخطاء يمكن للمؤسسات استخدامه لإنشاء قائمة بأصول السحابة والويب وواجهة برمجة التطبيقات، والتي يمكن للباحثين الآخرين اختبارها لمعرفة ما إذا كانت هناك أي ثغرات أمنية.
أحد المنافسين الرئيسيين لـ HackerOne في السوق هو Bugcrowd، رائد الصناعة، والذي جمع بنفسه تمويلًا بقيمة 80 مليون دولار، ويقدم منصة يمكنها تحديد نقاط الضعف تلقائيًا في سطح هجوم المؤسسة.
بعد اكتشاف الثغرات الأمنية، يمكن للمنصة بعد ذلك ربط المؤسسات بالباحثين ومهندسي الأمن للتحقيق والإبلاغ عن النتائج التي توصلوا إليها في الثغرة الأمنية مباشرة في المطورين الحاليين وسير عمل الأمان.
من بين المزودين الآخرين في السوق، شركة Intigriti الأوروبية، التي تقدم منصة تضم أكثر من 50000 باحث ودفعت أكثر من 5 ملايين دولار من المكافآت حتى الآن.
في هذه المرحلة، فإن الفارق الرئيسي بين هؤلاء المزودين ليس فقط حجم مجموعة الباحثين الذين يوفرون الوصول إليهم، ولكن أيضًا في الوسائل التي يربطون بها المؤسسات بالباحثين المناسبين لتأمين بيئاتهم.
المصدر: venturebeat
إقراء ايضا:
