مایکروسافت در برنامههای شکار باگ، ۱۳/۷ میلیون دلار به متخصصان امنیت پرداخت کرده است
مایکروسافت میگوید در یک سال گذشته در مجموع به متخصصان امنیتی که در سرویسهای شرکت، باگ کشف کردهاند، ۱۳/۷ میلیون دلار جایزه پرداخت کرده است. برنامههای شکار باگ مایکروسافت فرصتهای درآمدزایی خوبی را برای متخصصان امنیت فراهم میکنند. متخصصانی که نرمافزارهای گوناگون را با هدف پیدا کردن آسیبپذیریهای امنیتی مورد بررسی و تحلیل قرار میدهند، از جوایز این شرکت بهرهمند میشوند که ظاهرا مبالغ قابلتوجهی را هم پوشش میدهد. این متخصصان بهجای سوءاستفاده از آسیبپذیریهای کشفشده یا فروش آنها به مجرمان سایبری یا سازمانهای جاسوسی، باگ امنیتی را به شرکت اصلی گزارش میکنند تا نسبت به رفع آن اقدامهای لازم را انجام دهد.
ردموندیها در ۱۲ ماه گذشته تا ابتدای ماه ژوئیه امسال، ۱۵ برنامهی شکار باگ اجرا کردهاند که در مجموع آنها، ۱۳/۷ میلیون دلار به متخصصان امنیت پرداخت شده است. چنین رقمی سه برابر هزینهی ۴/۴ میلیارد دلاری محاسبه میشود که در دورهی مشابه ۱۲ ماه قبلی پرداخت شد. گروه Microsoft Security Response Center که مسئولیتهای امنیتی و خصوصا بررسی آسیبپذیریها را برعهده دارد، در پست وبلاگی با انتشار گزارش هزینههای ۱۲ ماه گذشته اعلام کرد که جوایز، بهنوعی قدردانی از محققان امنیتی محسوب میشود که زمان و مهارت خود را برای پیدا کردن حفرههای امنیتی نرمافزارها بهکار گرفتهاند.
آسیبپذیریهایی که در خلال برنامههای شکار باگ به مایکروسافت یا دیگر شرکتها اعلام میشوند، بیش از همه منجر به کاهش آسیبپذیریهای روز صفر میشوند. درواقع متخصصان امنیت در برنامههای شکار باگ، سرویسها را پیش از عرضهی عمومی بررسی میکنند تا در زمان عرضه، کمترین باگ امنیتی در آنها وجود داشته باشد. اگر در زمان عرضه، باگ یا آسیبپذیری روز صفر در یک سرویس موجود باشد، مجرمان میتوانند از همان ابتدا و پیش از عرضهی بستهی امنیتی ازسوی شرکت سازنده، از حفرههای امنیتی سوءاستفاده کنند.
مجموع جایزههایی که مایکروسافت در دورهی ۱۲ ماههی گذشته به متخصصان امنیت پرداخت کرد، بیش از جوایز گوگل بود. اهالی مانتین ویو، در تقویم سال ۲۰۱۹ در مجموع ۶/۵ میلیون دلار جایزه در برنامههای شکار باگ پرداخت کردهاند. البته همین آمار ۶/۵ میلیون دلاری، دو برابر هزینهای بود که گوگل در سال قبل در برنامههای شکار باگ پرداخت کرد.
هزینههایی که مایکروسافت برای پیدا کردن آسیبپذیریهای اساسی پرداخت کرده است، احتمالا ازلحاظ آماری به بهینهسازی و اصلاح نیاز خواهد داشت. گوگل گروه شکار باگی بهنام Google Project Zero یا GPZ دارد که در گزارش اخیر خود، از سوءاستفاده از ۱۱ آسیبپذیری روز صفر در نیمهی اول سال ۲۰۲۰ خبر دادند. ازطرفی مایکروسافت تنها در ماه مارس، ۱۱۵ آسیبپذیری را با بستههای امنیتی برطرف کرد. آمار دیگر نیز نشان میدهد که ردموندیها چهار آسیبپذیری از ۱۱ مورد گزارششده ازسوی GPZ را رفع کردهاند. از چهار آسیبپذیری مذکور، یکی به اینترنت اکسپلورر مربوط میشد و CVE-2020-0674 نام داشت و در ماه فوریه اصلاح شد. سه مورد دیگر نیز مربوط به سیستم مدیریت حافظه در ویندوز بودند.
آمارهای GPZ نشان میدهد از میان ۲۰ آسیبپذیری روز صفر سال ۲۰۱۹، ۱۱ مورد به محصولات مایکروسافت مربوط بودهاند. این آمار، تعداد آسیبپذیری محصول ردموندیها را بالاتر از همهی شرکتهای دیگر، حتی گوگل قرار میدهد. البته گوگل در آمار خود میگوید شناسایی آسیبپذری در محصولات مایکروسافت کمی جانبدارانه است، چون بههرحال ابزارهای امنیتی بیشتری برای شناسایی باگهای ویندوز دردسترس قرار دارند.
مایکروسافت میگوید بهخاطر اجرای ۶ برنامهی جدید شکار باگ در سال گذشته و همچنین دو برنامهی پشتیبانی تحقیقاتی، هزینههای شکار باگ افزایش پیدا کردهاند. برنامههای مذکور، حدود ۱۰۰۰ گزارش امنیتی معتبر را از ۳۰۰ متخصص برای مایکروسافت بهارمغان آورد. ردموندیها همچنین میگویند سیاستهای فاصلهگذاری اجتماعی و قرنطینههای پیدرپی، افزایش تحقیقات در حوزهی امنیت سایبری را در پی داشته است. برنامههای شکار باگ مایکروسافت در دورهی گذشته که منجر به پرداخت هزینهی ۱۳/۷ میلیون دلاری شدند، شامل برنامههایی برای شناسایی آسیبپذیری امنیتی در مایکروسافت داینامیکس ۳۶۵، آژور، مایکروسافت اج، ایکسباکس و سرویسهای مشابه دیگر شرکت بودند.
نظرات