اتصالاتالرئيسية

شركات التكنولوجيا تدفع للمخترقين الأخلاقيين مقابل الحماية

هاشتاق عربي

شارك هذا الموضوع:

في أواخر 2019، كانت دون إزابيل تبحث عن مواطن الخلل ونقاط الضعف في تطبيق للهواتف المحمولة. كانت تشارك في برنامج بق باونتي “مكافأة مكتشفي الثغرات” الخاص بصانع التطبيق – وهي مرحلة التطوير عندما توظف شركة ما مخترقين للعثور على نقاط الضعف في أنظمتها.
تقول إيزابيل عن الطريقة التي يصور بها هذا العمل أحيانا، “على التلفزيون، يبدو الأمر مثيرا، مع كثير من النصوص الخضراء الزاهية، وست شاشات. في الواقع، لقد انحنيت إلى جهاز الكمبيوتر المحمول الخاص بي وأقوم بالتصفح لساعات متتالية”.
لكن في النهاية، إيزابيل – التي تعمل أيضا بدوام كامل مديرة للأبحاث في شركة أمن الأجهزة المحمولة “ناو سكيور” – “حققت نجاحا باهرا”. اكتشفت ثغرة مدمرة في التطبيق وسرعان ما جمعت مبلغا مكونا من خمسة أرقام كمكافأة.
هذا العمل الذي يقوم به ما يسمى بالمخترقين الأخلاقيين هو الذي يساعد على حماية الشركات – بداية من عمالقة التكنولوجيا الكبار مثل “جوجل” و”مايكروسوفت” و”فيسبوك” إلى الشركات الناشئة – من شر الجهات الرقمية الشائنة. ثبت أنها مربحة بشكل متزايد للذين يقومون بهذه المهمة.
يقول تانر إيميك، وهو مخترق أخلاقي يبلغ من العمر 32 عاما، “بدأت الشركات تنفتح أكثر فأكثر”. على مدى الأعوام الأربعة الماضية، يقدر أنه حقق مليون دولار من مكافآت اكتشافه الثغرات.
تراوح المكافآت عادة من الآلاف إلى مئات الآلاف من الدولارات. يضيف، “لا يقتصر الأمر على قيام مزيد من الشركات بتنظيم برامج مكافآت اكتشاف الثغرات، بل يبدو أن النطاق يتسع أيضا”.
الاختراق الأخلاقي، كان موجودا منذ السبعينيات، وهو آخذ في التطور، وفقا لبيل كونر، الرئيس التنفيذي لمجموعة “سونيك وول” للأمن السيبراني.
كان معتادا على التركيز على “هدف واحد” في الاختراق الأخلاقي. قد يكون هذا، مثلا، اختبار اختراق – محاكاة هجوم إلكتروني على نظام كمبيوتر لكشف العيوب – أو البحث عن نقاط الضعف في المنتجات. يضيف كونر، “لكن الاختراق الأخلاقي يعمل الآن على اختبار شبكة عملك، وشبكتك الداخلية بحثا عن نقاط الضعف. لقد وصل إلى التصيد الاحتيالي واختبار البريد الإلكتروني، واختبار السحابة. أصبح الاختراق الأخلاقي عملا مكتملا”.
يأتي هذا التطور في الوقت الذي استمرت فيه الجريمة الإلكترونية في النمو بسرعة خلال التحول إلى العمل عن بعد. على وجه الخصوص، أصبحت هجمات برامج الفدية – حيث يقوم المخترقون بحبس البيانات أو أنظمة الكمبيوتر حتى يتم منحهم مكافأة – واحدة من أكبر مشكلات الأمن السيبراني للقطاعين الخاص والعام في العامين الماضيين.
تم استهداف صناعتي تكنولوجيا المعلومات وسلاسل الإمداد، فضلا عن البنية التحتية الحيوية – مثل خط أنابيب كولونيال، الذي تم اختراقه العام الماضي، ما أدى إلى تعطيل إمدادات الوقود الأمريكية لعدة أيام. أثبتت التطبيقات المتصلة بـ”إنترنت الأشياء” أنها عرضة للخطر أيضا.
كما أن الهجمات الإلكترونية على الدول مستمرة على قدم وساق، مع تزايد الهجمات بشكل خاص في خضم الأزمة في أوكرانيا.
يقول مارتن ميكوس، الرئيس التنفيذي لشركة هاكر وان – التي توصل الشركات مع المخترقين الأخلاقيين المحتملين – إن شركته لديها 1.5 مليون مخترق اشتركوا في منصتها.
يوضح ميكوس، “هناك كثير من الشباب الذين نشأوا بخيبة أمل كبيرة من هذا العالم، وكانوا لاعبين طوال شبابهم”. اتضح أنهم “أفضل الخبراء”.
يعتقد ميكوس أن “هاكر وان”، واحدة من أكبر منصات مكافآت الثغرات إلى جانب مجموعة الأمن السيبراني “بق كراود”، بمنزلة “مصدر للثقة” يقوم بفحص مهارات وسمعة المخترقين الذين قاموا بالتسجيل، ومن ثم يشهد بكفاءتهم.
يعتقد ميكوس أن القطاع أصبح “أكثر احترافية”. بدأ تعليم الاختراق الأخلاقي والشهادات الخاصة به في الظهور بصفتها ميزات له، مع تشجيع الحكومات أيضا لتلك البرامج.
علاوة على المخترقين الأخلاقيين الفرديين الذين يسجلون في المنصات، هناك أيضا فرق داخل مؤسسات الأمن السيبراني تقوم بعمل مماثل نيابة عن العملاء.
تشارلز هندرسون، الرئيس العالمي لوحدة إكس-فورس ريد للاختراق التابعة لشركة آي بي إم، يقول إن فريقه سجل ارتفاعا 33 في المائة في عدد الاختراقات الشبكية الناجمة عن استغلال الثغرات الأمنية في 2021، مقارنة بالعام السابق.
يجادل بأن التركيز ينبغي ألا يكون “فقط حول إبعاد المهاجمين، ولكن اختبار أنه يمكنك اكتشاف المخترقين بمجرد دخولهم”.
هذا فن مختلف. قد يطلق المخترقين الهجمات بسرعة، لكن بمجرد دخولهم شبكة ما، سيتحركون ببطء وتأن لتجنب أن يتم ملاحظتهم. يقول هندرسون، “عندما يوجدون، هل ستعرف أنهم هناك؟”.
زيادة صعوبة تنقل الخصوم داخل الأنظمة تتطلب أدوات تحقق قوية لضمان أن المخترقين الموظفين كما يقولون، ولا يتم منحهم وصولا غير مقيد إلى الأنظمة والبيانات التي لا يحتاجون إليها. هذا مهم بشكل خاص لأن بعض الشركات ستسمح لأطراف ثالثة في سلاسل الإمداد المترامية الأطراف الخاصة بها بالوصول إلى أنظمتها.
يقول أوندريه كريهيل، رئيس قسم العلم الجنائي الرقمي والاستجابة للحوادث في منصة “سيكيورتي سكوركارد” لمراقبة الأمن السيبراني، “ينظر ممثلو التهديدات في عمليات استغلال برامج الفدية إلى سطح الهجوم، وكيف يتم إخفاء الأشياء بشكل جيد خلف سور عظيم. سينظرون أيضا في كيف سيعمل التحقق والتفويض”.
لكن الأمن السيبراني الهجومي له حدود ومناطق رمادية، كما تحذر مايا هورويتز، مديرة الأبحاث في “شيك بوينت”، وهي مزود للأمن السيبراني. يدافع البعض عن “اختراق المخترقين” – المعروف أيضا باسم “تعقب الاختراق” – لكن هذا مخالف للقانون في معظم الدول، كما تقول.
من الممكن أيضا أن يقوم المخترقون الأخلاقيون بتسريب معلومات حول نقاط الضعف إلى الصحافة أو المخترقين الآخرين، قبل أن يكون لدى الشركة الوقت لإصلاحها. لا يزال خطر استدراج المخترقين من خلال نشاط إجرامي مربح حقيقيا. تشير هورويتز إلى أن “أدوات الاختراق تباع على شبكة الإنترنت المظلمة”، التي، بالنسبة إلى المخترقين، يمكنها تمكين الأنشطة التي تكون “أكثر ربحية من برامج مكافآت اكتشاف الثغرات”.

فايننشال تايمز

صحيفة بريطانية دولية تتحدث عن الأعمال، يتم نشرها في لندن منذ تأسيسها في عام 1888 من قبل جيمس شيريدان وأخوه. هناك اتفاق خاص بين فايننشال تايمز وصحيفة الاقتصادية السعودية يتم بموجبها ترجمة لأهم مقالاتها يوميا

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى