Co to jest bezpieczeństwo oparte na crowdsourcingu?

Zanim nowe oprogramowanie trafi na rynek, jest testowane pod kątem luk w zabezpieczeniach. Każda odpowiedzialna firma przeprowadza te testy, aby chronić zarówno swoich klientów, jak i siebie przed cyberzagrożeniami.

W ostatnich latach deweloperzy w coraz większym stopniu polegali na crowdsourcingu przy przeprowadzaniu dochodzeń w sprawie bezpieczeństwa. Ale czym dokładnie jest bezpieczeństwo oparte na crowdsourcingu? Jak to działa i jak wypada w porównaniu z innymi powszechnymi metodami oceny ryzyka?

Jak działa bezpieczeństwo oparte na crowdsourcingu

Organizacje różnej wielkości tradycyjnie wykorzystywały testy penetracyjne do zabezpieczania swoich systemów. Testowanie piórem jest zasadniczo symulowanym cyberatakiem, który ma na celu ujawnienie luk w zabezpieczeniach, tak jak zrobiłby to prawdziwy atak. Ale w przeciwieństwie do prawdziwego ataku, po wykryciu luki te są łatane. Zwiększa to ogólny profil bezpieczeństwa danej organizacji. Brzmi prosto.

Ale są pewne rażące problemy z testami penetracyjnymi. Zwykle przeprowadza się go co roku, co po prostu nie wystarcza, biorąc pod uwagę, że całe oprogramowanie jest regularnie aktualizowane. Po drugie, ponieważ rynek cyberbezpieczeństwa jest dość nasycony, firmy zajmujące się testowaniem piórem czasami „znajdują” luki w zabezpieczeniach tam, gdzie tak naprawdę ich nie ma, aby uzasadnić pobieranie opłat za swoje usługi i wyróżnić się na tle konkurencji. Są też kwestie budżetowe — usługi te mogą być dość kosztowne.

Bezpieczeństwo oparte na crowdsourcingu działa na zupełnie innym modelu. Polega na zaproszeniu grupy osób do testowania oprogramowania pod kątem bezpieczeństwa. Firmy korzystające z crowdsourcingowych testów bezpieczeństwa zapraszają grupę osób lub ogół społeczeństwa do zbadania ich produktów. Można to zrobić bezpośrednio lub za pośrednictwem platformy crowdsourcingowej innej firmy.

Chociaż każdy może dołączyć do tych programów, to przede wszystkim etyczni hakerzy (hakerzy w białych kapeluszach) lub badacze, jak nazywa się ich w społeczności, biorą w nich udział. I biorą w tym udział, ponieważ zwykle jest przyzwoita nagroda finansowa za odkrycie luki w zabezpieczeniach. Oczywiście ustalanie kwot należy do każdej firmy, ale można argumentować, że crowdsourcing jest tańszy i bardziej efektywny na dłuższą metę niż tradycyjne testy penetracyjne.

W porównaniu z testami pióra i innymi formami oceny ryzyka, crowdsourcing ma wiele różnych zalet. Na początek, bez względu na to, jak dobrą firmę do testowania penetracji zatrudnisz, duża grupa ludzi, którzy stale szukają luk w zabezpieczeniach, ma znacznie większe szanse na ich odkrycie. Inną oczywistą zaletą crowdsourcingu jest to, że każdy taki program może być otwarty, co oznacza, że ​​może działać nieprzerwanie, dzięki czemu luki w zabezpieczeniach można odkrywać (i łatać) przez cały rok.

3 rodzaje programów bezpieczeństwa opartych na crowdsourcingu

Większość programów bezpieczeństwa opartych na crowdsourcingu koncentruje się na tej samej podstawowej koncepcji nagradzania finansowego tych, którzy odkryją lukę lub lukę w zabezpieczeniach, ale można je podzielić na trzy główne kategorie.

1. Nagrody za błędy

Praktycznie każdy gigant technologiczny — od Facebooka, przez Apple, po Google — ma aktywny program nagród za błędy. Zasada ich działania jest dość prosta: odkryj błąd, a otrzymasz nagrodę. Nagrody te wahają się od kilkuset dolarów do kilku milionów, nic więc dziwnego, że niektórzy etyczni hakerzy zarabiają na pełny etat, odkrywając luki w oprogramowaniu.

2. Programy ujawniania luk w zabezpieczeniach

Programy ujawniające luki w zabezpieczeniach są bardzo podobne do nagród za błędy, ale jest jedna kluczowa różnica: te programy są publiczne. Innymi słowy, kiedy etyczny haker odkryje lukę w zabezpieczeniach oprogramowania, ta luka jest publikowana, aby każdy wiedział, co to jest. Firmy zajmujące się cyberbezpieczeństwem często w nich uczestniczą: wykrywają lukę w zabezpieczeniach, piszą o niej raport i przedstawiają rekomendacje dla programisty i użytkownika końcowego.

3. Crowdsourcing złośliwego oprogramowania

Co zrobić, jeśli pobierasz plik, ale nie masz pewności, czy można go bezpiecznie uruchomić? Jak sprawdzić, czy to złośliwe oprogramowanie? Jeśli udało Ci się go pobrać, Twój pakiet antywirusowy nie rozpoznał go jako złośliwego, więc możesz udać się do VirusTotal lub podobnego skanera online i przesłać go tam. Narzędzia te agregują dziesiątki produktów antywirusowych, aby sprawdzić, czy dany plik jest szkodliwy. To również jest formą bezpieczeństwa opartego na crowdsourcingu.

Niektórzy twierdzą, że cyberprzestępczość jest formą bezpieczeństwa crowdsourcingowego, jeśli nie jego ostateczną formą. Argument ten z pewnością jest zasadny, ponieważ nikt nie jest bardziej zmotywowany do znalezienia luki w systemie niż ugrupowanie cyberprzestępcze, które chce je wykorzystać w celu uzyskania korzyści finansowych i rozgłosu.

Ostatecznie to przestępcy nieumyślnie zmuszają branżę cyberbezpieczeństwa do dostosowywania się, wprowadzania innowacji i doskonalenia.

Przyszłość bezpieczeństwa opartego na crowdsourcingu

Według firmy analitycznej Future Market Insights , globalny rynek zabezpieczeń opartych na crowdsourcingu będzie nadal rósł w nadchodzących latach. W rzeczywistości szacunki mówią, że do 2032 r. będzie wart około 243 mln USD. Wynika to nie tylko z inicjatyw sektora prywatnego, ale także z faktu, że rządy na całym świecie przyjęły zabezpieczenia oparte na crowdsourcingu — wiele amerykańskich agencji rządowych prowadzi aktywne programy nagród za błędy i ujawniania luk w zabezpieczeniach, na przykład.

Prognozy te z pewnością mogą być przydatne, jeśli chcesz ocenić, w jakim kierunku zmierza branża cyberbezpieczeństwa, ale nie trzeba być ekonomistą, aby dowiedzieć się, dlaczego korporacje przyjmują podejście crowdsourcingowe do bezpieczeństwa. Niezależnie od tego, jak spojrzysz na problem, liczby się sprawdzają. Poza tym, co może być złego w tym, że grupa odpowiedzialnych i godnych zaufania osób monitoruje twoje aktywa pod kątem słabych punktów przez 365 dni w roku?

Krótko mówiąc, o ile nie nastąpi radykalna zmiana w sposobie penetrowania oprogramowania przez cyberprzestępców, z dużym prawdopodobieństwem będziemy świadkami pojawiania się programów zabezpieczających pochodzących z crowdsourcingu. To dobra wiadomość dla programistów, hakerów w białych kapeluszach i konsumentów, ale zła wiadomość dla cyberprzestępców.

Crowdsourcing bezpieczeństwa w celu ochrony przed cyberprzestępczością

Cyberbezpieczeństwo istnieje od pierwszego komputera. Na przestrzeni lat przybierało różne formy, ale cel zawsze był ten sam: ochrona przed nieautoryzowanym dostępem i kradzieżą. W idealnym świecie nie byłoby potrzeby cyberbezpieczeństwa. Ale w prawdziwym świecie ochrona siebie robi różnicę.

Wszystkie powyższe dotyczą zarówno firm, jak i osób fizycznych. Ale podczas gdy przeciętny człowiek może być stosunkowo bezpieczny w Internecie, o ile przestrzega podstawowych protokołów bezpieczeństwa, organizacje wymagają kompleksowego podejścia do potencjalnych zagrożeń. Takie podejście powinno opierać się przede wszystkim na bezpieczeństwie zerowego zaufania.