DoD, yeni bir hata ödül programının lansmanını duyurdu


Transform 2022’yi 19 Temmuz’da ve neredeyse 20 – 28 Temmuz’da geri getirmekten heyecan duyuyoruz. İçgörülü görüşmeler ve heyecan verici ağ oluşturma fırsatları için yapay zeka ve veri liderlerine katılın. Bugün kayıt Ol!


Bugün, Savunma Bakanlığı (Savunma Bakanlığı), Dijital ve Yapay Zeka Baş Ofisi (CDAO), Dijital Hizmetler Müdürlüğü ve Savunma Bakanlığı Siber Suç Merkezi’nin (DC3) “Hack US” bug ödül programını başlattığını duyurdu.

Program, DoD’ler kapsamında kritik ve yüksek önemdeki güvenlik açıklarını belirleyebilen etik bilgisayar korsanları ve güvenlik araştırmacıları için finansal ödüller sunacak. güvenlik açığı açıklama programı.

Araştırmacıları katılmaya teşvik etmek için Savunma Bakanlığı, güvenlik açığı açıklamaları için toplam 110.000 ABD Doları teklif edecek. Ödemeler, kritik önem derecesine sahip raporlar için 1.000 ABD Doları, yüksek önem derecesine sahip raporlar için 500 ABD Doları ve ek özel kategorilerdekiler için 3.000 ABD Doları arasında değişmektedir.

Savunma Bakanlığı’nın bir hata ödülü başlatma kararı, yalnızca Savunma Bakanlığı ve HackerOne’ın Savunma Sanayi Üssü Güvenlik Açığı Açıklama Programının bir parçası olarak 12 aylık bir pilot çalışmayı tamamlamasıyla gelmiyor (DIB-VDP) değil, aynı zamanda daha fazla kuruluş farkına vardıkça saldırı yüzeyi, güvenlik ekiplerinin ayak uyduramayacağı noktaya kadar genişledi.

Hata ödülleri neden ivme kazanıyor?

Hata ödüllerine artan ilginin arkasındaki temel itici güçlerden biri, modern kurumsal ortamlarda bulunan çok sayıda güvenlik açığıdır.

Araştırma ortalama bir organizasyonun saldırı yüzeyinde kabaca 31.066 güvenlik açığı olduğunu, küçük bir iç güvenlik ekibinin en son güvenlik açığı yönetimine veya saldırı yüzeyi yönetim araçlarına erişimleri olsa bile tek başına azaltamayacağı bir sayı olduğunu öne sürüyor.

Çok sayıda güvenlik açığı göz önüne alındığında, kuruluşların %44’ünün bildiri saldırı direnci boşluğunun getirdiği riskleri ele alma yeteneklerine güven duymadıklarını.

Hata ödülleri, güvenlik ekiplerine, güvenlik açıklarını belirleyerek ve düzeltmeler önererek destek sağlamaya yardımcı olabilecek bir güvenlik araştırmacıları ordusunun desteğine erişim sağlayarak bu zorluğa bir yanıt sağlar.

Kurucu ve kurucu Casey Ellis, “Bir müttefik ordusunu alt etmek için bir düşman ordusu gerekiyor ve birçok kuruluş, dünya çapında yetenekli, hazır ve yardım etmeye istekli milyonlarca iyi niyetli bilgisayar korsanı topluluğuna giriyor” dedi. Bugcrowd’da CTO.

Ellis, “DoD DC3’teki iyi insanlar, uzun yıllardır büyük bir titizlik ve başarı ile bir güvenlik açığı açıklama programı yürütüyorlar, bu yüzden onların bunu ücretli bir hata ödül programına “yükseltmelerini” görmek çok mantıklı” dedi.

Elbette Savunma Bakanlığı, aşağıdaki gibi kuruluşlarla birlikte kitle kaynaklı siber güvenliği benimsemede yalnız değil. Microsoft, Google, Elma, Meta ve SAMSUNG hepsi sistemlerinin ve son ürünlerinin güvenliğini sağlamak için kendi güvenlik açığı ödül programlarıyla denemeler yapıyor.

Böcek ödül hareketi

Araştırmacılara göre, küresel hata ödül pazarı 2020’de 223.1 milyon dolar değerinde bir büyüme durumunda ve 2027 yılına kadar 5.465,5 milyon dolara ulaşması bekleniyor.

Yalnızca son 12 ayda, böcek ödül piyasası, HackerBir 49 milyon dolar topladığı bildirildi. finansmanBelçika merkezli Intigriti kapsamında 23 milyon dolar topladı B serisi yuvarlak ve Web3 hata ödül platformu Immunefi, 5,5 milyon dolar topladı tohum finansmanı.

Aynı zamanda, diğer sağlayıcılar da aşağıdakiler gibi yeni kitle araştırma girişimleri başlattı: 1Şifre1 milyon dolarlık lansmanı duyurdu böcek ödülü Nisan ayı itibariyle araştırmacılara 103.000 dolar ödedi.

Bu çözümler yatırımcıların ilgisini çekiyor. Ray Kelly, “Etkili hata ödül programları, bir kuruluşun müşteri tabanını kolayca riske atabilecek ciddi güvenlik açıklarının etkisini sınırlar” dedi. Synopsys Yazılım Bütünlüğü Grubu.

“Hata raporları için yapılan ödemeler bazen kulağa çok fazla gibi gelebilecek altı rakamı aşabilir. Ancak, bir kuruluşun sıfırıncı gün güvenlik açığını düzeltmesi ve bu güvenlik açığından kurtulmasının maliyeti milyonlarca dolarlık gelir kaybına yol açabilir,” dedi Kelly.

Çitin diğer tarafında, LockBit gibi kötü şöhretli siber çeteler bile hata ödülleriyle deneyler yapıyor, araştırmacılardan ve bilgisayar korsanlarından 1 milyon dolara kadar ücret karşılığında yüksek profilli bireyler ve web istismarları hakkında PII göndermelerini istiyor.

Böcek ödül pazarı: En iyi oyuncular ve önemli farklılaştırıcılar

Pazarın büyümesinin bu aşamasında, önde gelen sağlayıcılardan biri, sadece Savunma Bakanlığı ile yakın bir ilişki kurmakla kalmayıp aynı zamanda 160 milyon dolar toplayan HackerOne’dır. toplam finansman ve bugüne kadar 294.000’den fazla hatayı çözen 1.000.000’den fazla etik bilgisayar korsanından oluşan bir topluluğa sahiptir.

HackerOne, kuruluşların bulut, web ve API varlıklarının bir envanterini oluşturmak için kullanabileceği ve diğer araştırmacıların daha sonra herhangi bir güvenlik açığı olup olmadığını test edebilecekleri bir hata ödül platformu sağlar.

HackerOne’ın pazardaki ana rakiplerinden biri, 80 milyon dolar toplayan sektörün öncülerinden Bugcrowd. finansmanve bir kuruluşun saldırı yüzeyindeki güvenlik açıklarını otomatik olarak tanımlayabilen bir platform sunar.

Güvenlik açıklarını tespit ettikten sonra, platform daha sonra kurumları araştırmacılar ve güvenlik mühendisleri ile bir araya getirerek bulgularını doğrudan mevcut geliştiricilere ve güvenlik iş akışlarına güvenlik açığıyla ilgili olarak araştırmak ve raporlamak için bağlayabilir.

Piyasadaki diğer sağlayıcılar arasında, 50.000’den fazla araştırmacıdan oluşan bir platform sunan ve bugüne kadar 5 milyon doların üzerinde ödül ödeyen Avrupalı ​​hata ödül sağlayıcısı Intigriti yer alıyor.

Bu aşamada, bu sağlayıcılar arasındaki temel farklılık, yalnızca erişim sundukları araştırmacı havuzunun boyutu değil, aynı zamanda ortamlarını güvence altına almak için işletmeleri doğru araştırmacılara bağladıkları araçlardır.

VentureBeat’in misyonu teknik karar vericilerin dönüştürücü kurumsal teknoloji ve işlemler hakkında bilgi edinmeleri için dijital bir şehir meydanı olmaktır. Üyelik hakkında daha fazla bilgi edinin.


Kaynak : https://venturebeat.com/2022/07/04/dod-bug-bounty-program/

Yorum yapın

SMM Panel PDF Kitap indir