ما هي برامج مكافآت الكشف عن الثغرات الأمنية وكيف تعمل؟

5 دقيقة
ما هي برامج مكافآت الكشف عن الثغرات الأمنية وكيف تعمل؟
حقوق الصورة: shutterstock.com\ozrimoz

في عام 2022 منحت شركة جوجل نحو 12 مليون دولار لأكثر من 700 باحث أمني رقمي من 68 دولة ضمن برنامج مكافآت اكتشاف الثغرات الأمنية، حيث عمل هؤلاء الباحثون على الكشف عن الثغرات الأمنية في منتجات الشركة المختلفة والتبليغ عنها. يُعدّ هذا الرقم كبيراً جداً مقارنة بالمبلغ الذي دُفع عام 2015 الذي وصل إلى مليوني دولار فقط.

يبوح لنا هذا الرقم بمدى أهمية برامج مكافآت الأخطاء للشركات في الحفاظ على أنظمتها ومنتجاتها وبيانات عملائها آمنة ومحمية ضد مجرمي الإنترنت والقراصنة الذين قد يستغلون مثل هذه الثغرات في إلحاق ضرر قد تجاوز تكلفة إصلاحه المبلغ المدفوع للباحث الأمني نفسه، فما هي برامج مكافآت الكشف عن الثغرات الأمنية وكيف تعمل؟ ولماذا بدأت الشركات بزيادة مكافآت الكشف عنها؟

ما هي برامج مكافآت إيجاد الأخطاء؟

تُعرف أيضاً باسم برامج مكافآت إيجاد الأخطاء (Bug Bounty Program) وهي عبارة عن مكافآت مالية تُمنح للقراصنة الأخلاقيين، أو ما يُعرفون بقراصنة القبعات البيضاء، نتيجة اكتشافهم ثغرة أمنية أو خطأ في أحد البرامج أو التطبيقات أو مواقع الويب والإبلاغ عنه بنجاح، وتسمح هذه البرامج -في حالة وجودها- للشركات بتحسين الوضع الأمني لأنظمتها بمرور الوقت بشكلٍ مستمر.

تُعدّ برامج مكافآت إيجاد الأخطاء مفيدة للشركات التي تتطلع إلى تحسين أمان منتجاتها أو أنظمتها، وتوفّر أيضاً وسيلة للباحثين الأمنيين والقراصنة الأخلاقيين فرص كسب المال بطريقة شرعية، وهذا يعني ربحاً لكلا الطرفين، حيث يُمكّن الشركات من تحسين أمنها الرقمي وتقليل المخاطر، بينما يمكّن الباحثين الأمنيين من الحصول على تعويض مادي مناسب عند العثور على نقاط الضعف بشكلٍ شرعي وقانوني.

اقرأ أيضاً: ما هي هجمات التصيد الاحتيالي المراوغة؟ وكيف يمكن كشفها والتصدي لها؟

كيف تعمل برامج مكافآت إيجاد الأخطاء؟ ومَن المؤهلون للحصول عليها؟

عادةً ما تبدأ برامج مكافآت إيجاد الأخطاء بتحديد الشركة لنوع نقاط الضعف التي تهتم بالعثور عليها، والمكافآت التي ترغب في تقديمها، بعد ذلك تترك المجال للباحثين الأمنيين والقراصنة الأخلاقيين للدخول إلى نظام الشركة أو منتجها للعثور على أي أخطاء أو نقاط ضعف ثم الإبلاغ عنها إلى فريق الأمان الرقمي في الشركة، وبدوره يتحقق من المشكلة أولاً ثم تُقدَّم بعد ذلك المكافأة المالية للباحث بناءً على خطورة الثغرة الأمنية.

وفي حين أن بعض الشركات تتطلب مستوى معيناً من الخبرة، إلّا أن العديد من البرامج مفتوحة لأي شخص يرغب في بذل الوقت والجهد اللازمين للعثور على أي ثغرة أمنية في النظام أو التطبيق. علاوة على ذلك يمكن أن تختلف المكافآت من بضع مئات من الدولارات إلى مئات الآلاف من الدولارات اعتماداً على خطورة الثغرة الأمنية.

ومع ذلك من المهم الإشارة إلى أن معظم الشركات لديها قواعد محددة توضّح كيف يمكن للباحث الأمني المضي قدماً في اختراق أنظمتها بشكلٍ قانوني. على سبيل المثال، لا تسمح معظم الشركات للعاملين الحاليين في الشركة أو مَن عمل مؤخراً أو مَن يعيش مع موظف يعمل في الشركة بالانضمام إلى برامج مكافآت إيجاد الأخطاء الخاص بها.

لماذا أصبحت برامج مكافآت إيجاد الأخطاء أكثر أهمية في الوقت الحالي؟

ترجع الشعبية المتزايدة لبرامج مكافآت إيجاد الأخطاء لدى قطاع الشركات إلى زيادة الهجمات السيبرانية وخروقات البيانات، حيث إن تطور أساليب مجرمي الإنترنت في تنفيذ الهجمات جعل من الصعب على الشركات تحديد نقاط ضعف أنظمتها.

اقرأ أيضاً: أبرز اتجاهات الجرائم السيبرانية في منطقة الشرق الأوسط وإفريقيا

ومن ثَمَّ تُمكّن برامج مكافآت إيجاد الأخطاء الشركات من الاستفادة من معرفة وخبرة القراصنة الأخلاقيين لتحديد نقاط الضعف والإبلاغ عنها، قبل أن يستغلها مجرمو الإنترنت أو ما يُعرفون بقراصنة القبعات الزرقاء، بالإضافة إلى ذلك توفّر هذه البرامج للشركات حلاً فعّالاً من حيث التكلفة لتعزيز وضع الأمن السيبراني الخاص بها.

سوق برامج مكافآت إيجاد الأخطاء تنمو بسبب كوفيد-19

وفقاً لمنصة هكر ون (HackerOne) التي تُعدُّ واحدة من أكبر منصات إدارة برامج مكافآت إيجاد الأخطاء، والتي تدير برامج لعملاء كبار مثل وزارة الدفاع الأميركية وجوجل، فإن تفشي جائحة كوفيد-19 كان له دور كبير في ازدياد الهجمات السيبرانية على الشركات التي بدورها زادت مكافآت إيجاد الأخطاء.

حيث ذكرت المنصة في تقريرها لعام 2020 أن اشتراكات القراصنة الجديدة زادت بنسبة 59% في الأشهر التي أعقبت بداية انتشار الجائحة، بينما زادت تقارير الأخطاء بنسبة 28% بسبب إجبار العديد من الباحثين على البقاء في المنزل، ما منحهم مزيداً من الوقت للبحث عن الأخطاء.

بالإضافة إلى ذلك أصبحت أدوات القرصنة التي تستخدم ثغرات الهجوم دون انتظار أو هجمات اليوم صفر والتي تسمح للقراصنة المدعومين من الحكومات باختراق الأجهزة والتطبيقات، مثل هواتف آيفون وأندرويد ومتصفحات الويب الشائعة مثل سفاري وكروم وتطبيقات المراسلة مثل واتساب وآي مسج، تبلغ قيمتها الآن ملايين الدولارات لأن اختراق مثل هذه المنتجات والتطبيقات السابقة الذكر أصبح أكثر صعوبة.

على سبيل المثال، وفقاً لقائمة أسعار شركة كراود فينس (Crowdfense) فإن مكافآت اختراق هواتف آيفون تراوحت ما بين 5 و7 ملايين دولار، ووصلت إلى 5 ملايين دولار لاختراق هواتف أندرويد ونحو 3 ملايين ونصف لاختراق متصفحات الويب، وما بين 3 و5 ملايين دولار لاختراق تطبيقات المراسلة الشائعة.

اقرأ أيضاً: كيف يستخدم مجرمو الإنترنت الذكاء الاصطناعي لإنشاء هويات مزيفة؟ وكيف تحمي نفسك؟

لماذا بدأت الشركات بزيادة مبالغ مكافآت برامج إيجاد الأخطاء؟

بدأ المزيد من الشركات في تبني برامج مكافآت إيجاد الأخطاء بهدف رئيسي وهو توسيع نطاق الأمن السيبراني الخاص بمنتجاتها ومنصاتها بسعر أقل، إذ إن القراصنة الذين يطاردون هذه المكافآت هدفهم هو تحقيق المكاسب المالية بطرق مشروعة وفق ضوابط محددة تضعها الشركة، بغرض تنبيهها للثغرات الموجودة وليس استغلالها لأغراض إجرامية.

حيث تتبنّى معظم الشركات هذه المنهجية، ومن ضمنها منصة إدارة المنتجات والاعتماد الرقمي بيندو (Pendo) التي تعمل على استخدام العديد من الأدوات لاختبار ومعالجة الثغرات الأمنية عند تصميم أي برامج جديدة.

ومع ذلك لا تُمانع في التعامل مع مجتمع الباحثين الأمنين من خلال برنامج مكافآت إيجاد الأخطاء الخاص بها، حيث تُتيح الفرصة لمئات الباحثين الأمنيين من مختلف أنحاء العالم للبحث باستمرار في منتجاتها لتحديد المشكلات والإبلاغ عنها.

وبشكلٍ عام يمكن أن تكون برامج مكافآت إيجاد الأخطاء بالنسبة للشركات أقل تكلفة من تعيين موظفين إضافيين بدوام كامل. على سبيل المثال، دفعت شركة إيبك غيمز (Epic Games) نحو 4 ملايين دولار لمئات الباحثين الأمنيين ضمن برنامجها، وبالمقارنة فإن هذا المبلغ ليس سوى جزء بسيط من إيراداتها السنوية التي تبلغ مليارات الدولارات.

اقرأ أيضاً: استخدم أدوات الأمن السيبراني هذه لحماية أجهزتك من الاختراق

بالإضافة إلى ذلك، تُغري بعض الشركات الكبرى مثل آي بي أم (IBM) قراصنة القبعات البيضاء بوعود غير مالية، مثل وضع أسمائهم في لوحات الشرف الخاصة بالشركة والتي يسعى إليها الكثير من الباحثين الأمنين، من أجل تعزيز سيرهم الذاتية وسط مجتمع الأمن السيبراني.