Než se nový softwarový produkt dostane na trh, je testován na zranitelnosti. Tyto testy provádí každá odpovědná společnost, aby ochránila své zákazníky i sebe před kybernetickými hrozbami.
V posledních letech se vývojáři při provádění bezpečnostních vyšetřování stále více spoléhají na crowdsourcing. Ale co je to vlastně crowdsourcovaná bezpečnost? Jak funguje a jak se srovnává s jinými běžnými metodami hodnocení rizik?
Jak funguje Crowdsourced zabezpečení
Organizace všech velikostí tradičně využívají penetrační testování k zabezpečení jejich systémů. Testování pera je v podstatě simulovaný kybernetický útok, který má odhalit bezpečnostní chyby, stejně jako skutečný útok. Ale na rozdíl od skutečného útoku jsou tyto zranitelnosti po objevení opraveny. To zvyšuje celkový bezpečnostní profil příslušné organizace. Zní to jednoduše.
Ale s penetračním testováním jsou některé do očí bijící problémy. Obvykle se provádí ročně, což jednoduše nestačí, protože veškerý software je pravidelně aktualizován. Za druhé, protože trh s kybernetickou bezpečností je poměrně nasycený, společnosti testující pera někdy „najdou“ zranitelnosti, kde ve skutečnosti žádné nejsou, aby bylo možné ospravedlnit zpoplatnění jejich služeb a odlišit se od nich jejich konkurence. Pak jsou tu také rozpočtové obavy – tyto služby mohou být poměrně nákladné.
Crowdsourced zabezpečení funguje na zcela jiném modelu. To se točí kolem pozvání skupiny jednotlivců k testování softwaru na bezpečnostní problémy. Společnosti, které využívají crowdsourcingové bezpečnostní testování, zvou skupinu lidí nebo veřejnost jako takovou, aby prozkoumala jejich produkty. To lze provést přímo nebo prostřednictvím crowdsourcingové platformy třetí strany.
Ačkoli se do těchto programů může zapojit kdokoli, je to především etičtí hackeři (hackeři s bílým kloboukem) nebo výzkumníci, jak se jim v komunitě říká, kteří se jich účastní. A účastní se, protože za odhalení bezpečnostní chyby je obvykle slušná finanční odměna. Je zřejmé, že je na každé společnosti, jaké sumy určí, ale lze namítnout, že crowdsourcing je z dlouhodobého hlediska levnější a efektivnější než tradiční penetrační testování.
Ve srovnání s testováním per a jinými formami hodnocení rizik má crowdsourcing mnoho různých výhod. Pro začátek, bez ohledu na to, jak dobrou firmu zabývající se penetračním testem si najmete, je mnohem pravděpodobnější, že je objeví velká skupina lidí, kteří neustále hledají zranitelnosti zabezpečení. Další zjevnou výhodou crowdsourcingu je, že každý takový program může být otevřený, což znamená, že může běžet nepřetržitě, takže zranitelnosti lze objevovat (a opravovat) po celý rok.
3 typy Crowdsourced bezpečnostních programů
Většina crowdsourcingových bezpečnostních programů je zaměřena na stejný základní koncept finančního odměňování těch, kteří objeví chybu nebo zranitelnost, ale lze je seskupit do tří hlavních kategorií.
1. Bug Bounties
Prakticky každý technologický gigant – od Facebooku, přes Apple až po Google – má aktivní bug bounty program. Jak fungují, je docela jednoduché: odhalte chybu a dostanete odměnu. Tyto odměny se pohybují od několika stovek dolarů až po několik milionů, takže není divu, že někteří etičtí hackeři vydělávají na plný úvazek objevováním zranitelností softwaru.
2. Programy odhalování chyb zabezpečení
Programy odhalování zranitelnosti jsou velmi podobné odměnám za chyby, ale je tu jeden zásadní rozdíl: tyto programy jsou veřejné. Jinými slovy, když etický hacker objeví bezpečnostní chybu v softwarovém produktu, je tato chyba zveřejněna, aby každý věděl, co to je. Firmy zabývající se kybernetickou bezpečností se na nich často podílejí: odhalí zranitelnost, napíší o ní zprávu a nabídnou doporučení pro vývojáře a koncového uživatele.
3. Crowdsourcing malwaru
Co když si stáhnete soubor, ale nejste si jisti, zda je bezpečné jej spustit? Jak se máš? zkontrolujte, zda se nejedná o malware? Pokud se vám ho podařilo stáhnout, váš antivirový balík jej nerozpoznal jako škodlivý, takže můžete přejít na VirusTotal nebo podobný online skener a nahrát jej tam. Tyto nástroje shromažďují desítky antivirových produktů, aby zkontrolovaly, zda je daný soubor škodlivý. I toto je forma hromadného zabezpečení.
Někteří tvrdí, že počítačová kriminalita je formou crowdsourcingové bezpečnosti, ne-li její konečnou formou. Tento argument má jistě své opodstatnění, protože nikdo není motivován k nalezení zranitelnosti v systému více než aktér hrozby, který se ho snaží využít k peněžnímu zisku a proslulosti.
Na konci dne jsou zločinci těmi, kdo neúmyslně nutí průmysl kybernetické bezpečnosti, aby se přizpůsobil, inovoval a zlepšoval.
Budoucnost Crowdsourced bezpečnosti
Podle analytické firmy Budoucí statistiky trhu, bude globální crowdsourcovaný bezpečnostní trh v nadcházejících letech nadále růst. Ve skutečnosti odhady říkají, že do roku 2032 bude mít hodnotu kolem 243 milionů dolarů. Není to jen díky iniciativám soukromého sektoru, ale také proto, že vlády po celém světě přijaly crowdsourcované zabezpečení – několik amerických vládních agentur má aktivní programy odměňování chyb a odhalování zranitelnosti, např. příklad.
Tyto předpovědi mohou být jistě užitečné, pokud chcete změřit, jakým směrem se odvětví kybernetické bezpečnosti ubírá, ale není potřeba ekonoma, aby přišel na to, proč korporace přijímají crowdsourcingový přístup k bezpečnosti. Ať už se na problém podíváte z jakéhokoli úhlu, čísla se přesvědčte. Navíc, co by mohlo být na škodu, když skupina zodpovědných a důvěryhodných lidí bude 365 dní v roce monitorovat vaše aktiva a najít zranitelnost?
Stručně řečeno, pokud se něco dramaticky nezmění ve způsobu, jakým herci hrozeb pronikají do softwaru, je více než pravděpodobné, že uvidíme, jak se zleva a zprava objeví crowdsourcované bezpečnostní programy. To je dobrá zpráva pro vývojáře, white hat hackery a spotřebitele, ale špatná zpráva pro kyberzločince.
Crowdsourcing zabezpečení na ochranu před kyberzločinem
Kybernetická bezpečnost existuje již od prvního počítače. Během let nabralo mnoho podob, ale cíl byl vždy stejný: chránit před neoprávněným přístupem a krádeží. V ideálním světě by kybernetická bezpečnost nebyla potřeba. Ale v reálném světě je důležité chránit se.
Vše výše uvedené platí pro firmy i jednotlivce. Ale zatímco průměrný člověk může zůstat na internetu relativně v bezpečí, pokud dodržuje základní bezpečnostní protokoly, organizace vyžadují všezahrnující přístup k potenciálním hrozbám. Takový přístup by měl být založen především na bezpečnosti nulové důvěryhodnosti.
