Mielőtt egy új szoftvertermék piacra kerülne, tesztelik a biztonsági réseket. Minden felelős vállalat elvégzi ezeket a teszteket, hogy megvédje ügyfeleit és magát is a kiberfenyegetésekkel szemben.
Az elmúlt években a fejlesztők egyre inkább a crowdsourcingra hagyatkoztak a biztonsági vizsgálatok lefolytatása során. De mi is pontosan a tömeges alapú biztonság? Hogyan működik, és hogyan hasonlítható össze más általános kockázatértékelési módszerekkel?
Hogyan működik a Crowdsourced Security
Bármilyen méretű szervezet hagyományosan alkalmazza penetrációs tesztelés a rendszereik biztonsága érdekében. A tollteszt lényegében egy szimulált kibertámadás, amelynek célja a biztonsági hibák feltárása, akárcsak egy valódi támadás. De ellentétben a valódi támadásokkal, amint felfedezik, ezeket a sebezhetőségeket befoltozzák. Ez növeli a szóban forgó szervezet általános biztonsági profilját. Egyszerűen hangzik.
De van néhány szembetűnő probléma a penetrációs teszteléssel. Általában évente hajtják végre, ami egyszerűen nem elég, mivel minden szoftvert rendszeresen frissítenek. Másodszor, mivel a kiberbiztonsági piac meglehetősen telített, a tolltesztelő cégek néha „találnak” sérülékenységek, ahol valójában nincsenek, hogy indokolják a szolgáltatásaik díját, és kiemelkedjenek versenyüket. Emellett költségvetési aggályok is felmerülnek – ezek a szolgáltatások meglehetősen költségesek lehetnek.
A csoportosított biztonság teljesen más modellen működik. Ennek lényege, hogy felkérünk egy csoportot, hogy teszteljék a szoftvert biztonsági problémák miatt. A közösségi forrásból származó biztonsági tesztelést alkalmazó vállalatok felkérik az emberek egy csoportját vagy a nyilvánosságot, hogy vizsgálják meg termékeiket. Ez megtehető közvetlenül vagy harmadik féltől származó közösségi beszerzési platformon keresztül.
Bár bárki csatlakozhat ezekhez a programokhoz, ez elsősorban az etikus hackerek (white hat hackerek) vagy kutatók, ahogy a közösségen belül nevezik őket, akik részt vesznek bennük. És részt vesznek, mert rendszerint tisztességes anyagi jutalom jár a biztonsági hiba felfedezéséért. Nyilván minden cég maga határozza meg az összegeket, de lehet vitatkozni azzal, hogy a crowdsourcing olcsóbb és hosszú távon hatékonyabb, mint a hagyományos penetrációs tesztelés.
A tollteszthez és a kockázatértékelés egyéb formáihoz képest a közösségi beszerzésnek számos előnye van. Először is, függetlenül attól, hogy milyen jó behatolásvizsgáló céget vesz fel, az emberek nagy csoportja, akik folyamatosan biztonsági réseket keresnek, sokkal valószínűbb, hogy felfedezik azokat. A crowdsourcing másik nyilvánvaló előnye, hogy bármely ilyen program nyílt végű lehet, ami azt jelenti, hogy folyamatosan futhat, így a sebezhetőségek egész évben felfedezhetők (és befoltozhatók).
3 Crowdsourced biztonsági programok típusai
A legtöbb közösségi forrásból származó biztonsági program ugyanazon alapkoncepció köré épül, amely a hibát vagy sebezhetőséget felfedezők anyagi megjutalmozására irányul, de három fő kategóriába sorolhatók.
1. Bug Bounties
Gyakorlatilag minden technológiai óriásnak – a Facebooktól az Apple-n át a Google-ig – van aktív bug bounty program. A működésük meglehetősen egyszerű: fedezzen fel egy hibát, és jutalmat kap. Ezek a jutalmak néhány száz dollártól néhány millióig terjednek, így nem csoda, ha egyes etikus hackerek teljes munkaidőben keresnek jövedelmet, amikor szoftveres sebezhetőségeket fedeznek fel.
2. Sebezhetőséget feltáró programok
A sebezhetőséget feltáró programok nagyon hasonlítanak a hibajavításokhoz, de van egy lényeges különbség: ezek a programok nyilvánosak. Más szóval, amikor egy etikus hacker biztonsági hibát fedez fel egy szoftvertermékben, a hibát nyilvánosságra hozzák, hogy mindenki tudja, mi az. A kiberbiztonsági cégek gyakran részt vesznek ezekben: észlelnek egy sebezhetőséget, jelentést készítenek róla, és ajánlásokat fogalmaznak meg a fejlesztő és a végfelhasználó számára.
3. Malware Crowdsourcing
Mi a teendő, ha letölt egy fájlt, de nem biztos benne, hogy biztonságos-e a futtatása? Hogyan ellenőrizze, hogy rosszindulatú-e? Ha először sikerült letöltenie, akkor a víruskereső program nem ismerte fel rosszindulatú, ezért ugorjon a VirusTotalhoz vagy egy hasonló online szkennerhez, és töltse fel ott. Ezek az eszközök több tucat víruskereső terméket egyesítenek annak ellenőrzésére, hogy a kérdéses fájl káros-e. Ez is a tömeges biztonság egyik formája.
Egyesek azt állítják, hogy a kiberbűnözés a közösségi forrásból származó biztonság egy formája, ha nem a végső formája. Ennek az érvnek minden bizonnyal megvan a maga érdeme, mert senkit sem ösztönöz jobban arra, hogy sebezhetőséget találjon egy rendszerben, mint egy fenyegetett szereplőt, aki azt pénzbeli haszonszerzésre és ismertségre akarja kihasználni.
A nap végén a bűnözők azok, akik akaratlanul is alkalmazkodásra, innovációra és fejlesztésre kényszerítik a kiberbiztonsági ágazatot.
A Crowdsourced Security jövője
Az elemző cég szerint Jövő piaci betekintések, a globális tömeges biztonsági piac az elkövetkező években tovább fog növekedni. Valójában a becslések szerint 2032-re körülbelül 243 millió dollár lesz az értéke. Ez nem csak a magánszektor kezdeményezéseinek köszönhető, hanem azért is, mert a kormányok világszerte felkarolták tömeges forrásból származó biztonság – több amerikai kormányhivatalnak van aktív hibajavító és sebezhetőségi feltáró programja, példa.
Ezek az előrejelzések minden bizonnyal hasznosak lehetnek, ha fel akarja mérni, milyen irányba halad a kiberbiztonsági iparág, de nincs szükség közgazdászra annak kiderítéséhez, hogy a vállalati entitások miért alkalmaznak tömeges beszerzési megközelítést a biztonság terén. Akárhogyan is nézi a problémát, a számok ellenőrzik. Ráadásul mi lehet a kára annak, ha egy felelős és megbízható emberek csoportja az év 365 napján felügyeli vagyonát a sebezhetőségekért?
Röviden, hacsak nem változik meg valami drámai módon a szoftverek behatolási módjában a fenyegetett szereplők által, több mint valószínű, hogy tömeges forrásból származó biztonsági programokat fogunk felbukkanni balra és jobbra. Ez jó hír a fejlesztőknek, a white hat hackereknek és a fogyasztóknak, de rossz hír a kiberbűnözőknek.
Crowdsourcing biztonság a számítógépes bűnözés elleni védelem érdekében
A kiberbiztonság az első számítógép megjelenése óta létezik. Az évek során sokféle formát öltött, de a cél mindig ugyanaz volt: a jogosulatlan hozzáférés és lopás elleni védelem. Egy ideális világban nem lenne szükség a kiberbiztonságra. De a való világban az önmaga védelmében van minden változás.
A fentiek mind vállalkozásokra, mind magánszemélyekre vonatkoznak. De míg az átlagember viszonylag biztonságban tud maradni az interneten mindaddig, amíg betartja az alapvető biztonsági protokollokat, a szervezeteknek mindenre kiterjedő megközelítésre van szükségük a lehetséges fenyegetésekkel szemben. Ennek a megközelítésnek elsősorban a zéró bizalmi biztonságon kell alapulnia.
