ဆိုက္ဘာလုံၿခဳံေရးစစ္ေဆးေပး႐ုံနဲ႔ ကန္ေဒၚလာ ၅၀၀၀၀၀ ေလာက္ ရေနတဲ့ ဟက္ကာေတြ

နည္းပညာတိုးတက္လာခ်ိန္မွာ ကြန္ပ်ဴတာစနစ္ထဲက ခၽြတ္ယြင္းခ်က္ေလးတစ္ခု၊ ဆိုက္ဘာလုံၿခဳံေရးဆိုင္ရာ အားနည္းခ်က္တစ္ခုေၾကာင့္ ေဒၚလာဘီလ်ံနဲ႔ခ်ီၿပီး ဆုံး႐ႈံးရႏိုင္တဲ့ အေျခအေန ရွိပါတယ္။ ဒါေၾကာင့္လည္း ထိပ္တန္းကုမၸဏီေတြက သူတို႔ရဲ႕ဆိုက္ဘာလုံၿခဳံေရးစနစ္ကို မ်က္ေျခမျပတ္ ဂ႐ုစိုက္ေနၾကပါတယ္။ ဒီလိုအေနအထားမွာ ထိပ္တန္းအဆင့္ အလြတ္တန္းဟက္ကာတစ္ေယာက္အေနနဲ႔ တက္စလာ(Tesla)ကုမၸဏီလို ကုမၸဏီႀကီးေတြနဲ႔ ကာကြယ္ေရးဝန္ႀကီးဌာနလို အဖြဲ႕အစည္းေတြရဲ႕ လုံၿခဳံေရးစနစ္ထဲက အျပစ္အနာအဆာေတြကို ရွာေဖြေဖာ္ထုတ္ေပး႐ုံနဲ႔ တစ္ႏွစ္ကို အေမရိကန္ေဒၚလာ ၅၀၀၀၀၀ ေလာက္(ျမန္မာေငြ သန္း ၈၀၀ နီးပါး) ရွာႏိုင္တယ္လို႔ Bugcrowd ကုမၸဏီက ထုတ္ျပန္တဲ့ ကိန္းဂဏန္းေတြမွာ ေဖာ္ျပထားပါတယ္။

က်င့္ဝတ္နဲ႔ညီၫြတ္တဲ့ Bugcrowd ကုမၸဏီဟာ ခၽြတ္ယြင္းခ်က္ရွာေဖြေရးဆုေၾကးစားလုပ္ငန္းစု (bug bounty) တစ္ခု ျဖစ္ၿပီး ၂၀၁၂ ခုႏွစ္မွာ တည္ေထာင္ခဲ့တာပါ။ ကြန္ပ်ဴတာစနစ္ လုံၿခဳံမႈဘယ္ေလာက္ရွိလဲဆိုတာ စစ္ေဆးခံလိုတဲ့ကုမၸဏီေတြနဲ႔ လုံၿခဳံေရးဆိုင္ရာအျပစ္အနာေတြ ေဖာ္ထုတ္ေပးႏိုင္တဲ့ ဟက္ကာေတြၾကား ခ်ိတ္ဆက္ေပးတဲ့ ပလက္ေဖာင္းတစ္ခု ျဖစ္ပါတယ္။

ဟက္ကာေတြနဲ႔ ကုမၸဏီၾကား ရွင္းလင္းျပတ္သားတဲ့စာခ်ဳပ္နဲ႔ အလုပ္လုပ္ၾကၿပီး ကုမၸဏီရဲ႕ အေျခခံအေဆာက္အဦက အျပစ္အနာအဆာကို ေဖာ္ထုတ္ႏိုင္ရင္ ဟက္ကာေတြ ဆုေၾကးရပါတယ္။ သူတို႔ ေဖာ္ထုတ္ေပးတဲ့ျပႆနာ ဘယ္ေလာက္ႀကီးလဲဆိုတဲ့အေပၚ မူတည္ၿပီး ဆုေၾကးရတာပါ။ ဆိုက္ဘာလုံၿခဳံေရးနယ္ပယ္မွာ လစ္လပ္ေနတဲ့ အလုပ္အကိုင္ သန္းခ်ီရွိေနလို႔ ကုမၸဏီေတြက သူတို႔ရဲ႕ ဆိုက္ဘာလုံၿခဳံေရးစမ္းသပ္မႈအတြက္ နည္းလမ္းသစ္ေတြ ပိုသုံးလာၾကပါတယ္။ (၂၀၂၁ ခုႏွစ္က်ရင္ ဆိုက္ဘာလုံၿခဳံေရးနယ္ပယ္မွာ လစ္လပ္ေနတဲ့ အလုပ္အကိုင္ ၃.၅ သန္းရွိမယ္လို႔ ခန္႔မွန္းထားၾကပါတယ္)

ကုမၸဏီေတြက သူတို႔ရဲ႕ ဆိုက္ဘာကာကြယ္ေရးစနစ္ကို ကၽြမ္းက်င္ဟက္ကာေတြထံ အပ္ႏွံၿပီး စမ္းသပ္ခိုင္းတတ္ၾကသလို တခ်ိဳ႕ကုမၸဏီေတြကလည္း ကုမၸဏီအတြင္း ဆိုက္ဘာေဖာက္ထြင္းေရး စမ္းသပ္သူေတြကို တာဝန္ေပးတတ္ပါတယ္။ ဒါေပမဲ့ အဲဒီနည္းလမ္းေၾကာင့္ red team လို႔ေခၚတဲ့ အႏၲရာယ္ရွိတဲ့အဖြဲ႕ေတြ ေပၚေပါက္လာတတ္ၿပီး ကုမၸဏီေတြရဲ႕ ဆာဗာေတြကို ျဖဳတ္ခ်တာ ဒါမွမဟုတ္ အခ်က္အလက္ေတြကို ခိုးယူတာမ်ိဳးလုပ္ရာမွာ အဲဒီအဖြဲ႕ေတြ ပါဝင္ေနတတ္ပါတယ္။

တျခားကုမၸဏီေတြကလည္း အႀကံေပးကုမၸဏီေတြ၊ Bugcrowd၊ HackerOne၊ Synack နဲ႔ Cobalt တို႔လို ဆိုက္ဘာလုံၿခဳံေရး အျပစ္အနာအဆာ ရွာေဖြတဲ့ ကုမၸဏီေတြကို တာဝန္ေပးတတ္ၾကပါတယ္။ ၿပီးခဲ့တဲ့ ေအာက္တိုဘာလမွာ ကာကြယ္ေရးဝန္ႀကီးဌာနက Bugcrowd နဲ႔ HackerOne ကုမၸဏီေတြကို Hack the Pentagon စီမံကိန္းအပ္ႏွံခဲ့ဖူးပါတယ္။

ဆုေၾကးစား ခၽြတ္ယြင္းခ်က္ရွာေဖြေရးအစီအစဥ္မွာ ဟက္ကာေတြ လိုက္နာရမယ့္ စည္းမ်ဥ္းေတြရွိပါတယ္။ စမ္းသပ္မႈလုပ္ရမယ့္ ဆာဗာကေန ထိလြယ္ရွလြယ္တဲ့ အခ်က္အလက္ေတြရွိရာ တျခားဆာဗာေတြကို ဝင္ေရာက္ခြင့္မျပဳပါဘူးဆိုတဲ့ စည္းကမ္းခ်က္မ်ိဳးရွိပါတယ္။ မႏွစ္တုန္းက hardware ကုမၸဏီႀကီးတစ္ခုရဲ႕ အျပစ္အနာအဆာတစ္ခု ေဖာ္ထုတ္ေပးႏိုင္လို႔ အေမရိကန္ေဒၚလာ ၁၁၃၀၀၀ အထိ ရရွိခဲ့ပါတယ္။ ဒါဟာ ကုမၸဏီသမိုင္းတစ္ေလၽွာက္ အျပစ္အနာအဆာ ရွာေဖြေဖာ္ထုတ္မႈတစ္ခုအတြက္ အမ်ားဆုံး ေငြေၾကးရရွိမႈပါပဲ။ ၂၀၁၈ ခုႏွစ္အတြင္း Bugcrowd ကုမၸဏီရဲ႕ ေငြေၾကးရရွိမႈဟာ အရင္ႏွစ္ကထက္ ၃၇ ရာခိုင္ႏႈန္း ျမင့္တက္လာတယ္လို႔ ကိန္းဂဏန္းအခ်က္အလက္ေတြမွာ ေဖာ္ျပထားပါတယ္။

စစ္တမ္းေကာက္ယူမႈတစ္ခုအရ က်င့္ဝတ္နဲ႔ညီတဲ့ ဟက္ကာတစ္ဝက္ပဲ အခ်ိန္ျပည့္အလုပ္ ရွိၾကပါတယ္။ သူတို႔ေတြထဲမွာ ၈၀ ရာခိုင္ႏႈန္းကေတာ့ ႀကိဳးစားအားထုတ္မႈေၾကာင့္ ဆိုက္ဘာလုံၿခဳံေရးေလာကမွာ အခ်ိန္ျပည့္အလုပ္ရတာလို႔ ေျပာပါတယ္။ ကမၻာ့ထိပ္တန္းဟက္ကာ ၅၀ ရဲ႕ တစ္ႏွစ္ပ်မ္းမၽွ တစ္ဦးခ်င္းဝင္ေငြဟာ အေမရိကန္ေဒၚလာ ၁၄၅၀၀၀ ေလာက္ရွိတယ္လို႔ Bugcrowd ကုမၸဏီ အမႈေဆာင္ခ်ဳပ္ အယ္လစ္(Ellis)က ေျပာပါတယ္။ ဝင္ေငြအေကာင္းဆုံးဟက္ကာေတြရဲ႕ အားသာခ်က္ကေတာ့ သူမတူေအာင္ ေျပာင္ေျမာက္တဲ့ အရည္အခ်င္းေတြ ပိုင္ဆိုင္ၾကတာပါပဲ။ သူတို႔ဟာ အျပစ္အနာအဆာ ျဖစ္ႏိုင္တဲ့ ပုံစံတစ္ရပ္ေတြ႕တာနဲ႔ ထပ္ဖန္တလဲလဲ ဆန္းစစ္ၿပီး အဲဒီအျပစ္အနာအဆာေၾကာင့္ ကုမၸဏီ ဒါမွမဟုတ္ အဖြဲ႕အစည္းကို ဘယ္ေလာက္အထိ ထိခိုက္ႏိုင္သလဲဆိုတာ တြက္ခ်က္ၾကပါတယ္။

Bugcrowd ကုမၸဏီရဲ႕ ဟက္ကာ ၉၄ ရာခိုင္ႏႈန္းက အသက္ ၁၈ ႏွစ္ကေန ၄၄ ႏွစ္ၾကား အ႐ြယ္ရွိသူေတြျဖစ္ၿပီး ဟက္ကာေတာ္ေတာ္မ်ားမ်ားဟာ အထက္တန္းေက်ာင္း ဒါမွမဟုတ္ အလယ္တန္းေက်ာင္းမွာ ပညာသင္ၾကားေနၾကဆဲသူေတြပါ။ Bugcrowd ကုမၸဏီမွာ ပူးေပါင္းပါဝင္ဖို႔ ဝင္ေၾကးကနည္းပါးေပမဲ့ ကၽြမ္းက်င္မႈအေပၚမူတည္ၿပီး ဝင္ခြင့္ေပးတာျဖစ္ပါတယ္။ Bugcrowd ကုမၸဏီရဲ႕ ဟက္ကာ ၄ ပုံ၊ တစ္ပုံကေတာ့ ေကာလိပ္ကေန ဘြဲ႕မရေသးသူေတြျဖစ္ၾကပါတယ္။

Ref: NBC ''Bounty hunter hackers can earn $500,000 to test company defenses''

Nz (႐ိုးရာေလး)