Преди нов софтуерен продукт да излезе на пазара, той се тества за уязвимости. Всяка отговорна компания извършва тези тестове, за да защити своите клиенти и себе си от кибер заплахи.
През последните години разработчиците все повече разчитат на краудсорсинг за провеждане на разследвания за сигурност. Но какво точно е краудсорсинг сигурност? Как работи и как се сравнява с други общи методи за оценка на риска?
Как работи Crowdsourced Security
Организации от всякакъв размер традиционно използват тестове за проникване за защита на техните системи. Тестването на писалка е по същество симулирана кибератака, която има за цел да разкрие пропуски в сигурността, точно както би направила истинска атака. Но за разлика от истинската атака, след като бъдат открити, тези уязвимости се закърпват. Това повишава цялостния профил на сигурност на въпросната организация. Звучи просто.
Но има някои явни проблеми с тестовете за проникване. Обикновено се извършва ежегодно, което просто не е достатъчно, като се има предвид, че целият софтуер се актуализира редовно. Второ, тъй като пазарът на киберсигурност е доста наситен, компаниите за тестване на писалки понякога „откриват“ уязвимости, където наистина няма такива, за да оправдаят таксуването на техните услуги и да се откроят от тяхната конкуренция. След това има и проблеми с бюджета - тези услуги могат да бъдат доста скъпи.
Crowdsourced сигурността работи по съвсем различен модел. Тя се върти около поканването на група хора да тестват софтуер за проблеми със сигурността. Компаниите, които използват групово тестване на сигурността, отправят покана към група хора или обществеността като такава, за да изследва техните продукти. Това може да стане директно или чрез краудсорсинг платформа на трета страна.
Въпреки че всеки може да се присъедини към тези програми, това е основно етични хакери (хакери с бели шапки) или изследователи, както се наричат в общността, която участва в тях. И те участват, защото обикновено има прилична финансова награда за откриване на пропуск в сигурността. Очевидно всяка компания трябва да определи сумите, но може да се твърди, че краудсорсингът е по-евтин и по-ефективен в дългосрочен план от традиционното тестване за проникване.
В сравнение с тестването на писалка и други форми на оценка на риска, краудсорсингът има много различни предимства. Като начало, без значение колко добра фирма за тестване на проникване сте наели, голяма група от хора, които постоянно търсят уязвимости в сигурността, е много по-вероятно да ги открият. Друго очевидно предимство на краудсорсинга е, че всяка такава програма може да бъде отворена, което означава, че може да работи непрекъснато, така че уязвимостите да могат да бъдат откривани (и коригирани) през цялата година.
3 типа Crowdsourced програми за сигурност
Повечето програми за сигурност с краудсорсинг са съсредоточени около една и съща основна концепция за финансово възнаграждение на тези, които открият недостатък или уязвимост, но те могат да бъдат групирани в три основни категории.
1. Награди за грешки
На практика всеки технологичен гигант – от Facebook, през Apple до Google – има активен програма за награди за грешки. Как работят е доста просто: открийте грешка и ще получите награда. Тези награди варират от няколкостотин долара до няколко милиона, така че не е чудно, че някои етични хакери печелят доходи на пълен работен ден, откривайки софтуерни уязвимости.
2. Програми за разкриване на уязвимости
Програмите за разкриване на уязвимости са много подобни на наградите за грешки, но има една ключова разлика: тези програми са публични. С други думи, когато етичен хакер открие пропуск в сигурността на софтуерен продукт, този недостатък се оповестява, така че всеки да знае какъв е. Фирмите за киберсигурност често участват в тях: те откриват уязвимост, пишат доклад за нея и предлагат препоръки за програмиста и крайния потребител.
3. Краудсорсинг на зловреден софтуер
Какво става, ако изтеглите файл, но не сте сигурни дали е безопасно да се изпълнява? Как вие проверете дали е злонамерен софтуер? Ако сте успели да го изтеглите на първо място, вашият антивирусен пакет не е успял да го разпознае като злонамерен, така че това, което можете да направите, е да се насочите към VirusTotal или подобен онлайн скенер и да го качите там. Тези инструменти обединяват десетки антивирусни продукти, за да проверят дали въпросният файл е вреден. Това също е форма на краудсорсинг сигурност.
Някои твърдят, че киберпрестъпността е форма на краудсорсинг сигурност, ако не и най-добрата й форма. Този аргумент със сигурност има заслуги, тъй като никой не е по-стимулиран да открие уязвимост в система от заплаха, която иска да я използва за парична печалба и известност.
В крайна сметка престъпниците са тези, които по невнимание принуждават индустрията за киберсигурност да се адаптира, обновява и подобрява.
Бъдещето на краудсорсинг сигурността
Според аналитичната фирма Бъдещи пазарни прозрения, глобалният краудсорсинг пазар на сигурност ще продължи да расте през идните години. Всъщност прогнозите сочат, че ще струва около 243 милиона долара до 2032 г. Това не се дължи само на инициативи на частния сектор, но и защото правителствата по света ги приеха групова сигурност – множество правителствени агенции на САЩ имат активни програми за награди за грешки и разкриване на уязвимости, за пример.
Тези прогнози със сигурност могат да бъдат полезни, ако искате да прецените в каква посока се движи индустрията за киберсигурност, но не е нужно да сте икономист, за да разберете защо корпоративните единици възприемат краудсорсинг подход към сигурността. Откъдето и да погледнете проблема, числата са ясни. Плюс това, каква би могла да е вредата от това група от отговорни и надеждни хора да наблюдават вашите активи за уязвимости 365 дни в годината?
Накратко, освен ако нещо драстично не се промени в начина, по който софтуерът се прониква от заплахи, е повече от вероятно да видим масови програми за сигурност да изскачат отляво и отдясно. Това е добра новина за разработчиците, белите хакери и потребителите, но лоша новина за киберпрестъпниците.
Краудсорсинг на сигурността за защита срещу киберпрестъпления
Киберсигурността съществува от първия компютър. През годините е приемал много форми, но целта винаги е била една и съща: защита срещу неоторизиран достъп и кражба. В един идеален свят няма да има нужда от киберсигурност. Но в реалния свят защитата на себе си прави всичко различно.
Всичко по-горе се отнася както за фирми, така и за физически лица. Но докато обикновеният човек може да остане относително в безопасност онлайн, стига да следва основните протоколи за сигурност, организациите изискват всеобхватен подход към потенциалните заплахи. Такъв подход трябва да се основава предимно на сигурност с нулево доверие.
