Predtým, ako sa nový softvérový produkt dostane na trh, je testovaný na zraniteľnosť. Tieto testy vykonáva každá zodpovedná spoločnosť, aby ochránila svojich zákazníkov aj seba pred kybernetickými hrozbami.
V posledných rokoch sa vývojári pri vykonávaní bezpečnostných vyšetrovaní čoraz viac spoliehajú na crowdsourcing. Ale čo je to vlastne crowdsourcovaná bezpečnosť? Ako to funguje a ako sa porovnáva s inými bežnými metódami hodnotenia rizík?
Ako funguje Crowdsourced bezpečnosť
Organizácie všetkých veľkostí tradične využívajú penetračné testovanie na zabezpečenie svojich systémov. Testovanie pera je v podstate simulovaný kybernetický útok, ktorý má odhaliť bezpečnostné chyby, rovnako ako skutočný útok. Na rozdiel od skutočného útoku sú však tieto zraniteľnosti po objavení opravené. To zvyšuje celkový bezpečnostný profil príslušnej organizácie. Znie to jednoducho.
S penetračným testovaním však existujú do očí bijúce problémy. Zvyčajne sa vykonáva ročne, čo jednoducho nestačí, keďže všetok softvér sa pravidelne aktualizuje. Po druhé, pretože trh s kybernetickou bezpečnosťou je dosť nasýtený, spoločnosti testujúce pero niekedy „nájdu“ zraniteľnosti tam, kde v skutočnosti žiadne nie sú, aby bolo možné ospravedlniť spoplatnenie ich služieb a odlíšiť sa od nich ich konkurencia. Potom sú tu aj rozpočtové obavy – tieto služby môžu byť dosť nákladné.
Crowdsourced bezpečnosť funguje na úplne inom modeli. To sa točí okolo pozvania skupiny jednotlivcov na testovanie softvéru na bezpečnostné problémy. Spoločnosti, ktoré využívajú crowdsourcingové bezpečnostné testovanie, pozývajú skupinu ľudí alebo verejnosť ako takú, aby otestovala ich produkty. Dá sa to urobiť priamo alebo prostredníctvom crowdsourcingovej platformy tretej strany.
Hoci sa do týchto programov môže zapojiť ktokoľvek, je to primárne etickí hackeri (hackeri s bielym klobúkom) alebo výskumníci, ako sa im hovorí v rámci komunity, ktorí sa na nich podieľajú. A zúčastňujú sa, pretože za odhalenie bezpečnostnej chyby je zvyčajne slušná finančná odmena. Je zrejmé, že je na každej spoločnosti, aké sumy si určí, no dá sa tvrdiť, že crowdsourcing je z dlhodobého hľadiska lacnejší a efektívnejší ako tradičné penetračné testovanie.
V porovnaní s testovaním perom a inými formami hodnotenia rizík má crowdsourcing mnoho rôznych výhod. Na začiatok, bez ohľadu na to, akú dobrú firmu zaoberajúcu sa penetračným testovaním si najmete, je oveľa pravdepodobnejšie, že ich objaví veľká skupina ľudí, ktorí neustále hľadajú slabé miesta. Ďalšou zjavnou výhodou crowdsourcingu je, že každý takýto program môže byť otvorený, čo znamená, že môže bežať nepretržite, takže zraniteľné miesta možno objavovať (a opravovať) po celý rok.
3 typy Crowdsourced bezpečnostných programov
Väčšina crowdsourcingových bezpečnostných programov sa sústreďuje okolo rovnakého základného konceptu finančného odmeňovania tých, ktorí objavia chybu alebo zraniteľnosť, ale možno ich zoskupiť do troch hlavných kategórií.
1. Bug Bounties
Prakticky každý technologický gigant – od Facebooku, cez Apple až po Google – má aktívny bug bounty program. Ako fungujú, je celkom jednoduché: objavte chybu a dostanete odmenu. Tieto odmeny sa pohybujú od niekoľkých stoviek dolárov po niekoľko miliónov, takže niet divu, že niektorí etickí hackeri zarábajú na plný úväzok objavovaním softvérových zraniteľností.
2. Programy zverejňovania zraniteľností
Programy odhaľovania zraniteľností sú veľmi podobné odmenám za chyby, ale je tu jeden kľúčový rozdiel: tieto programy sú verejné. Inými slovami, keď etický hacker objaví bezpečnostnú chybu v softvérovom produkte, táto chyba je zverejnená, aby každý vedel, čo to je. Firmy zaoberajúce sa kybernetickou bezpečnosťou sa na nich často podieľajú: zistia zraniteľnosť, napíšu o nej správu a ponúknu odporúčania pre vývojárov a koncových používateľov.
3. Crowdsourcing škodlivého softvéru
Čo ak stiahnete súbor, ale nie ste si istí, či je bezpečné ho spustiť? Ako sa máš? skontrolujte, či nejde o malvér? Ak sa vám ho podarilo stiahnuť, váš antivírusový balík ho nerozpoznal ako škodlivý, takže môžete prejsť na VirusTotal alebo podobný online skener a nahrať ho tam. Tieto nástroje zhromažďujú desiatky antivírusových produktov, aby skontrolovali, či je daný súbor škodlivý. Aj toto je forma crowdsourcingovej bezpečnosti.
Niektorí tvrdia, že počítačová kriminalita je formou crowdsourcingovej bezpečnosti, ak nie jej konečnou formou. Tento argument má určite svoje opodstatnenie, pretože nikoho nemotivuje nájsť zraniteľnosť v systéme viac ako aktéra hrozby, ktorý ho chce využiť na peňažný zisk a slávu.
V konečnom dôsledku sú to zločinci, ktorí neúmyselne nútia odvetvie kybernetickej bezpečnosti prispôsobiť sa, inovovať a zlepšovať.
Budúcnosť Crowdsourced bezpečnosti
Podľa analytickej firmy Budúce štatistiky trhu, svetový crowdsourcingový bezpečnostný trh bude v nasledujúcich rokoch naďalej rásť. V skutočnosti odhady hovoria, že do roku 2032 bude mať hodnotu okolo 243 miliónov dolárov. Nie je to len vďaka iniciatívam súkromného sektora, ale aj vďaka tomu, že vlády na celom svete prijali crowdsourcingová bezpečnosť – viaceré americké vládne agentúry majú aktívne programy odmeňovania chýb a odhaľovania zraniteľností, napr. príklad.
Tieto predpovede môžu byť určite užitočné, ak chcete zmerať, akým smerom sa uberá odvetvie kybernetickej bezpečnosti, ale nepotrebuje ekonóma, aby prišiel na to, prečo korporátne subjekty prijímajú prístup k bezpečnosti pomocou crowdsourcingu. Bez ohľadu na to, ako sa na problém pozriete, čísla overte. Navyše, aká by mohla byť škoda, keby skupina zodpovedných a dôveryhodných ľudí monitorovala váš majetok z hľadiska zraniteľnosti 365 dní v roku?
Stručne povedané, pokiaľ sa niečo dramaticky nezmení v spôsobe, akým aktéri hrozieb prenikajú do softvéru, je viac než pravdepodobné, že uvidíme, ako sa vľavo a vpravo objavia crowdsourcované bezpečnostné programy. To je dobrá správa pre vývojárov, hackerov s bielym klobúkom a spotrebiteľov, no zlá správa pre kyberzločincov.
Crowdsourcingová bezpečnosť na ochranu pred počítačovou kriminalitou
Kybernetická bezpečnosť existuje už od prvého počítača. V priebehu rokov nadobudol mnoho podôb, no cieľ bol vždy rovnaký: chrániť pred neoprávneným prístupom a krádežou. V ideálnom svete by kybernetická bezpečnosť nebola potrebná. Ale v skutočnom svete je dôležité chrániť sa.
Všetko vyššie uvedené platí pre firmy aj jednotlivcov. Ale zatiaľ čo priemerný človek môže zostať online relatívne v bezpečí, ak dodržiava základné bezpečnostné protokoly, organizácie vyžadujú komplexný prístup k potenciálnym hrozbám. Takýto prístup by mal byť založený predovšetkým na bezpečnosti nulovej dôvery.