
A medida que la actividad delictiva continúa acelerándose en Internet, la búsqueda de vulnerabilidades por dinero en efectivo ha comenzado a atraer a más y más investigadores de seguridad.
En su último informe anual, la plataforma de recompensas por errores intigretti Se reveló que de abril de 2021 a abril de 2022, la cantidad de analistas que se suscribieron a sus servicios aumentó en un 43%. Solo para Intigriti, esto representa 50.000 investigadores adicionales.
En la mayoría de los casos, los cazadores de recompensas de errores son trabajos de medio tiempo para la mayoría de los investigadores, el 54 por ciento de los cuales tienen trabajos de tiempo completo y otro 34 por ciento son estudiantes de tiempo completo, señaló.
«Los programas de recompensas por errores han tenido mucho éxito tanto para las organizaciones como para los investigadores de seguridad». seguridad de sombrero blancoun proveedor de seguridad de aplicaciones con sede en San José, California, fue recientemente sinopsis.
«Un programa eficaz de recompensas por errores limita el impacto de las vulnerabilidades de seguridad críticas que pueden poner en riesgo fácilmente la base de clientes de una organización», dijo a TechNewsWorld.
«Los pagos mal informados a veces superan las seis cifras, lo que puede parecer mucho», dijo. «Sin embargo, el costo para que las organizaciones arreglen y se recuperen de las vulnerabilidades de día cero puede resultar en millones de dólares en pérdidas de ingresos».
Se premia la «integridad»
Como si no hubiera suficiente incentivo para convertirse en un cazarrecompensas de errores, el Departamento de Justicia de los EE. UU. adoptó recientemente una política para mejorar las trayectorias profesionales que establece que no hará cumplir la Ley Federal de Abuso y Fraude Informático contra los piratas informáticos que considera «de buen comportamiento». «mientras intentaba descubrir software. y fallas en el sistema, fe».
«El reciente cambio de política para dejar de procesar a los investigadores es bienvenido y se debe desde hace mucho tiempo», afirma el ingeniero técnico sénior Mike Parkin. red vulcanaun proveedor de SaaS de remediación de riesgo cibernético empresarial con sede en Tel Aviv, Israel.
«El hecho de que los investigadores hayan estado tratando de encontrar y ayudar a corregir las vulnerabilidades de seguridad durante años bajo un sistema que equivale a ‘lo que sucede’ demuestra que deben comprometerse a hacer lo correcto, incluso si hacerlo significa arriesgarse a recibir multas. y encarcelamiento», dijo a TechNewsWorld.
«Este cambio de política elimina una barrera considerable para la investigación de vulnerabilidades, y podemos esperar que valga la pena rápidamente y permita que más personas busquen errores de buena fe sin la amenaza de ir a la cárcel por hacerlo», dijo.
Encontrar errores en el software de otras personas se considera un trabajo respetable hoy en día, pero no siempre fue así. «Cuando los cazadores de recompensas de errores encuentran vulnerabilidades, inicialmente hay muchas preguntas», dice el defensor de la conciencia de seguridad James McQuiggan. saber Be4un proveedor de capacitación en concientización sobre seguridad en Clearwater, Florida.
«Las organizaciones van a estar muy disgustadas con esto, y van a tratar de cobrar a los investigadores que lo encontraron, cuando de hecho, los investigadores quieren ayudar”, dijo a TechNewsWorld. «La industria ha reconocido esto y ahora tiene direcciones de correo electrónico establecidas para recibir dicha información».
Beneficios de muchos ojos
A lo largo de los años, las empresas se han dado cuenta de los beneficios que pueden aportar los programas de recompensas por errores. «La tarea de descubrir y priorizar las consecuencias vulnerables e imprevistas no es ni debe ser el foco de los recursos o esfuerzos de la organización», explica el CTO y fundador Casey Ellis. enjambreque opera una plataforma de recompensas de errores de colaboración colectiva.
Le dijo a TechNewsWorld: «Como resultado, una respuesta más escalable y eficiente a la pregunta ‘dónde es más probable que me ataquen a continuación’ ya no se considera opcional sino esencial». «Aquí es donde entran en juego los programas de recompensas por errores».
«Un programa de recompensas por errores es una forma proactiva de corregir un error y recompensar a alguien por su buen trabajo y juicio», agregó el investigador principal de seguridad Davis McCarthy. Valtixun proveedor de servicios de seguridad de red nativo en la nube con sede en Santa Clara, California.
«Dada la escasez de talento en el campo, el dicho ‘errores a simple vista’ suena cierto», dijo a TechNewsWorld.
Parkin estuvo de acuerdo. «Con la gran complejidad del código moderno y la miríada de interacciones entre aplicaciones, es fundamental tener un ojo más responsable en busca de defectos», dijo.
“Los actores de amenazas trabajan constantemente para encontrar nuevas vulnerabilidades que puedan explotar, y el entorno de amenazas en la ciberseguridad solo se volverá más hostil”, continuó. «El aumento de las recompensas por errores es una forma de que las organizaciones obtengan el apoyo de algunos investigadores independientes en el juego. Es una respuesta natural al aumento de los ataques sofisticados».
programa de recompensas para malos actores
Si bien los programas de recompensas por errores han ganado una mayor aceptación entre las empresas, aún pueden crear fricciones dentro de las organizaciones.
«Los investigadores a menudo se quejan de que incluso cuando las empresas tienen programas coordinados de divulgación o recompensas por errores, hay demasiada resistencia o fricción. A menudo se sienten menospreciados o excluidos», señala el fundador y director ejecutivo Archie Agarwal. modelador de amenazasun proveedor de modelado de amenazas automatizado con sede en Jersey City, NJ
«En lo que respecta a las organizaciones, a menudo se atascan en la divulgación de información porque los investigadores han descubierto una falla de diseño fatal que tomó meses de esfuerzo concertado para mitigar», dijo a TechNewsWorld.
«El esfuerzo y el gasto de corregir los defectos de diseño después de la implementación del sistema es un desafío serio», continuó. «La mejor manera de evitar esto es modelar los sistemas de amenazas a medida que se construyen y sus diseños evolucionan. Esto permite a las organizaciones planificar y abordar de manera proactiva estas posibles formas de vulnerabilidad».
Quizás uno de los mayores testimonios de la efectividad de los programas de recompensas por errores es que los actores maliciosos han comenzado a adoptar la práctica. La pandilla de ransomware LockBit está pagando a las personas que encuentran vulnerabilidades en sus sitios web y códigos filtrados.
«Los desarrollos son novedosos, sin embargo, dudo que encuentren muchos interesados». nettenridgeuna empresa de operaciones de seguridad digital y TI con sede en San José, CA.
«Sé que si encuentro un error, lo usaré para encarcelarlos», dijo a TechNewsWorld. «Si los delincuentes encuentran uno, se lo robarán porque no hay honor entre los operadores de ransomware».
«Los programas de piratería ética han tenido un gran éxito. No es sorprendente ver que los grupos de ransomware mejoran sus métodos y servicios frente a la competencia». Soporte de Blu-rayuna empresa de servicios de ciberseguridad con sede en Menlo Park, California.
Advirtió que los atacantes descubren cada vez más que pueden comprar el acceso a las empresas y los sistemas que quieren atacar.
«Esto debería hacer que todas las empresas se preocupen por la seguridad de su cadena de suministro interna, incluido quién y qué tiene acceso a su código y cualquier secreto que contenga», dijo a TechNewsWorld. «Los programas de recompensas sin escrúpulos como este convierten las contraseñas y las claves de su código en oro, disponible para todos los que tienen acceso a su código».