التعامل مع تحدي منح التسول

22

أصبح صعود ما يسمى بمكافآت التسول تحديًا لفرق الأمن ، ويمكن أن يكون بمثابة استنزاف للوقت والموارد. ولكن ما هي مكافأة التسول وكيف تختلف عن مكافأة الخطأ؟

تاريخ النشر: 11 آذار (مارس) 2021

تخيل المشهد: أنت في العمل وستتلقى إخطارًا بشأن ثغرة من الواضح أنه يتعين عليك التعامل معها بشكل عاجل. هل تعمل عليها الآن ، تفوض إلى محلل ، أم تتركها لوقت لاحق؟

إذا كان هذا هو الأخير ، فهي مسألة مدى خطورة الضعف. أنت تتحقق من مصدره وما هي المشكلة. في هذه المرحلة ، تدرك أنها مجرد نتيجة قيام شخص ما بمسح شبكتك ، وإبلاغك بما وجده ، وطلب الحصول على مكافأة مقابل ذلك.

أهلا وسهلا بك إلى ما تم تحديده “مكافأة التسول”. بعيدًا عن كونها خدعة ، غالبًا ما تستهدف رسائل البريد الإلكتروني الشركات التي أجرى الباحث فيها مسحًا بسيطًا للتكوينات الخاطئة أو نقاط الضعف الأساسية ، متبوعًا بقص النتائج ولصقها في قالب بريد إلكتروني محدد مسبقًا.

سلط عالم الأبحاث الرئيسي في سوفوس ، تشيستر ويسنيوسكي ، الضوء على هذا في مدونة حديثة ، واصفًا إياها بـ “الأخلاقية الإفصاحات التي تشارك جميع المعلومات المطلوبة وتلمح إلى أنه قد يكون من الجيد إرسال مكافأة لهم “. ومع ذلك ، هناك حالات يمكن أن تصل فيها إلى “الابتزاز عبر الحدود ، والمطالبة بالدفع دون تقديم معلومات كافية لتحديد صحة الطلب”.

يقول Wisniewski أن هذا النوع من النهج يمكن أن يطلب عادةً دفعة من 150 دولارًا إلى 2000 دولار لكل خطأ ، اعتمادًا على درجة الخطورة. ومع ذلك ، فقد توصل بحثه إلى أن أياً من نقاط الضعف التي حقق فيها لم تكن تستحق الدفع.

“إذا تلقيت إحدى رسائل البريد الإلكتروني هذه ، فإن الأمر يستحق أن تأخذها على محمل الجد حيث من المحتمل أن يكون لديك وضع أمني سيئ للغاية ، ولكن لا يجب عليك التعامل مع الشخص الذي يطلب عملك” ، كما يقول. “اتصل بشركة محلية جديرة بالثقة لتقييم نقاط الضعف الأمنية لديك ، والتي يمكنها العمل معك لتحديد أولويات وضعك الأمني ​​وتحسينه.”

تجربة CISO

واجه Quentyn Taylor ، مدير أمن المعلومات في Canon Europe ، عددًا من التقارير وطلبات الدفع مقابل الكشف. وهو يدعي أن هناك ثلاث فئات من الأشخاص الذين يبلغون عن نقاط الضعف. النوع الأول يجد شيئًا ويبلغ عنه. والثاني ، الباحث المحترف الذي وجد ثغرة ، يقرأ برنامج الإفصاح وتتفق معه على الإفصاح للجمهور بموجب شروط برنامج الكشف عن الثغرات الأمنية.

“هذه مفيد جدًا والناس يفعلون ذلك كخط جانبي لكسب المال ، وهناك أمثلة رائعة عليه وهي خدمة جيدة جدًا ، “يقول تايلور.

ومع ذلك ، فإن الفئة الثالثة هي أولئك الذين يسعون للحصول على مكافآت التسول ، وقد وجدوا عادةً “خطأ منخفض المستوى يبحثون عنه على نطاق واسع “. الأمثلة النموذجية هي التهيئة الخاطئة لـ DMARC و SPF. يقول تايلور: “إنهم يبحثون عنها ، ويقولون إنهم وجدوا ثغرة خطيرة ويريدون بعض المال مقابل ذلك”.

غالبًا ما كان يرد بعد ذلك على سؤال عما إذا كان الباحث قد قرأ شروط برنامج الكشف عن الثغرات الأمنية ، مشيرًا إلى أن ما وجده الشخص ليس في نطاقه أو في منطقته. “لم يكن لدينا شيء سيء ، لقد كان لديه الكثير من الاتصال الجيد على SPF و DKIM ولم تكن هناك مشكلات خطيرة ، وعادة ما يكون مجرد شكر ، وقد تم كل شيء ، كما يقول. “ومع ذلك ، يقول البعض الآخر إنهم عثروا عليه ، ثم يسألون ،” متى ستصلحها ومتى ستدفع لي؟ ”

يشتبه تايلور في أن معظم الباحثين من هذا النوع يقضون وقتًا في المنتديات على الإنترنت ، ويقومون بتوليد رسائل البريد الإلكتروني وإرسال الإخطارات “على أمل الحصول على أموال”. يقول إنهم عادةً ما يقومون بتشغيل ماسح ضوئي من خلال البنية التحتية الخاصة بك ، مضيفًا: “أتذكر عندما كان القيام بذلك غير مهذب ، والآن يعتبرونه بمثابة خدمة لك.”

هل القلق هنا من أن هذه مجرد إزعاج واستنزاف للوقت والموارد؟ يوافق تايلور على هذه الحالة ، قائلاً إنه مقابل كل خمسة أو ستة تقارير تحصل عليها ، يمكنك الحصول على تقرير جيد حقًا وتحتاج إلى النظر فيه.

“إنها ضوضاء يمكنك الاستغناء عنه “. “يطرقك الناس برسالة تبدو مهددة ، لكن عندما تنظر إلى المشكلة تكون بسيطة. وكلما زادت خطورة الضعف ، زادت خطورة الباحث. ”

من وجهة نظر الباحث

يدعي تايلور أن عدد الأشخاص الذين لم يقرؤوا برنامج الكشف عن الثغرات الأمنية “مذهل” وهو “فقط المحترفون الذين يقرؤونه”. من منظور وسيط المكافآت bug bounty ، كيف يتم تثقيف الباحثين حول هذا النوع من الكشف؟

يقول Laurie Mercer ، مهندس الأمن في HackerOne ، إن شركته لديها مبادئ توجيهية واضحة بشأن ما يتم مكافأته وما هو غير ذلك ، وهناك “مجال واضح للقبول بالثغرات وما يتم دفع ثمنه”.

فيما يتعلق بتقديم مكافأة التسول ، يقول ميرسر إن هناك مشكلتين رئيسيتين: الأولى هي الثقة ومعرفة من يقدم الثغرة نفسها ، والثانية تتعلق بالمهارات ، كما يراه. مشكلة في استخدام الماسحات الضوئية الآلية للعثور على نقاط الضعف – مثل المطالبة بمكافأة خطأ يجب أن تظهر مستوى معين من المهارة التقنية.

ومع ذلك ، فإن ميرسر حريصة على توضيح النقطة التي مفادها أن “المتسللين لا يخلقون المشاكل ، بل يعرضون المشاكل الموجودة بالفعل”. تقرير HackerOne
لعام 2020  وجد أن ما يقرب من ثلثي المتسللين يقولون إنهم عثروا على أخطاء واختاروا عدم إبلاغ المنظمة ، حيث قال 38٪ من المتسللين إن هذا يرجع إلى ” التهديد باللغة القانونية “المنشورة على موقع المنظمة على الويب فيما يتعلق باكتشاف نقاط الضعف المحتملة. كما قال 15٪ أن الشركة لم تستجب لتقارير الأخطاء السابقة.يقول ميرسر إن السبب وراء قيام الشركات بتشغيل برامج الكشف عن الثغرات الأمنية “هو العثور على نقاط الضعف التي لا يمكن للشركة أن تجدها بنفسها”. لذلك ، تضع الشركات برنامج الكشف عن الثغرات الأمنية لتحديد فئات الأخطاء التي تدفع مقابلها ، وما إذا كان الباحث يسلم شيئًا تم تحديده على أنه ليست جزءًا من برنامج مكافأة الأخطاء ، فلن تفكر الشركة في دفع رسوم مقابل ذلك.”أي ستأتي مشكلة خطيرة عبر قناة احترافية مثل HackerOne “، كما يقول ميرسر.

التعامل مع الموضوع

اكتشف بحث HackerOne أن 85٪ من المتسللين يتسللون لأقل من 40 ساعة في الأسبوع ، و 18٪ فقط يتسللون بدوام كامل ، و 40٪ من المتسللين يخصصون 20 ساعة أو أكثر في الأسبوع للبحث عن نقاط الضعف.

كيف يمكن لخبراء أمن المعلومات والشركات التعامل مع هذه المشكلة؟ يقول تايلور من كانون إن التعليم ضروري لفهم أفضل أن الإفصاحات غير المبررة لا تحصل دائمًا على عائد. “هذا ليس ضد صائدي المكافآت المحترفين ، حيث أن بعض صائدي المكافآت جيدون جدًا ويعملون على تحديد كيفية عملها ، ولكن الأشخاص في إن الطرف الأدنى يريد تحقيق ربح سريع “.

يقول ميرسر أنه بعد العمل مع الشركات والهيئات التنظيمية والحكومات ، هناك عملية حول كيفية الكشف عن إخطارات الأخطاء ، حيث إن شكاوى CISO عادة ما تكون قد تم تقديمها ضد تفضيلاتهم. ويضيف قائلاً: “إذا قمت بتنفيذ برنامج الكشف عن الثغرات الأمنية ، فسيخبر الباحث ما إذا تم قبوله وما إذا كنت تدفع مكافآت الأخطاء”.

يبدو أن الحل يكمن في صيغة ذلك البرنامج والسياسة العامة ، و إذا أبلغت صائدي الحشرات الناشئين بما هو موجود في النطاق ودفعت مقابله ، فسيتم تقليل هذه المشكلة المتمثلة في البحث عن صائدي جوائز التسول.