Prije nego se novi softverski proizvod pojavi na tržištu, testira se na ranjivosti. Svaka odgovorna tvrtka provodi ove testove kako bi zaštitila svoje klijente i sebe od cyber prijetnji.
Posljednjih godina programeri se sve više oslanjaju na crowdsourcing za provođenje sigurnosnih istraga. No, što je točno sigurnost putem mnoštva? Kako funkcionira i kakav je u usporedbi s drugim uobičajenim metodama procjene rizika?
Kako funkcionira Crowdsourced Security
Organizacije svih veličina tradicionalno koriste testiranje prodora kako bi osigurali svoje sustave. Testiranje olovke u biti je simulirani kibernetički napad koji treba razotkriti sigurnosne nedostatke, baš kao što bi to učinio pravi napad. No, za razliku od pravog napada, jednom kad se otkriju, te se ranjivosti popravljaju. To povećava ukupni sigurnosni profil dotične organizacije. Zvuči jednostavno.
Ali postoje neki očiti problemi s testiranjem prodora. Obično se provodi godišnje, što jednostavno nije dovoljno, s obzirom da se sav softver redovito ažurira. Drugo, budući da je tržište kibernetičke sigurnosti prilično zasićeno, tvrtke za testiranje olovaka ponekad "pronađu" ranjivosti tamo gdje ih zapravo nema kako bi opravdali naplatu svojih usluga i istaknuli se njihovu konkurenciju. Zatim, tu su i proračunska pitanja—te usluge mogu biti prilično skupe.
Crowdsourced sigurnost radi na potpuno drugačijem modelu. Vrti se oko pozivanja grupe pojedinaca da testiraju sigurnosne probleme softvera. Tvrtke koje koriste masovno sigurnosno testiranje upućuju poziv skupini ljudi ili javnosti kao takvoj da ispita njihove proizvode. To se može učiniti izravno ili putem platforme za masovno prikupljanje podataka treće strane.
Iako se bilo tko može pridružiti tim programima, prvenstveno je etički hakeri (hakeri s bijelim šeširom) ili istraživači, kako se nazivaju unutar zajednice, koja u njima sudjeluje. I sudjeluju jer obično postoji pristojna financijska nagrada za otkrivanje sigurnosnog propusta. Očito, na svakoj je tvrtki da odredi iznose, ali može se tvrditi da je crowdsourcing jeftiniji i dugoročno učinkovitiji od tradicionalnog penetracijskog testiranja.
U usporedbi s testiranjem pera i drugim oblicima procjene rizika, crowdsourcing ima mnogo različitih prednosti. Za početak, bez obzira na to koliko dobru tvrtku za testiranje penetracije angažirate, veća je vjerojatnost da će ih otkriti velika skupina ljudi koji stalno traže sigurnosne propuste. Još jedna očita prednost crowdsourcinga je ta da svaki takav program može biti otvoren, što znači da se može izvoditi kontinuirano, tako da se ranjivosti mogu otkriti (i zakrpati) tijekom cijele godine.
3 vrste Crowdsourced sigurnosnih programa
Većina masovnih sigurnosnih programa usredotočena je na isti osnovni koncept financijskog nagrađivanja onih koji otkriju nedostatak ili ranjivost, no mogu se grupirati u tri glavne kategorije.
1. Bug Bounties
Gotovo svaki tehnološki div—od Facebooka, preko Applea do Googlea—ima aktivan bug bounty program. Kako rade prilično je jednostavno: otkrijte grešku i dobit ćete nagradu. Te se nagrade kreću od nekoliko stotina dolara do nekoliko milijuna, pa nije ni čudo da neki etički hakeri zarađuju stalni prihod otkrivajući softverske ranjivosti.
2. Programi otkrivanja ranjivosti
Programi otkrivanja ranjivosti vrlo su slični nagradama za bugove, ali postoji jedna ključna razlika: ti su programi javni. Drugim riječima, kada etički haker otkrije sigurnosni propust u softverskom proizvodu, taj se propust objavljuje kako bi svi znali o čemu se radi. Tvrtke koje se bave kibernetičkom sigurnošću često sudjeluju u tome: uoče ranjivost, napišu izvješće o tome i ponude preporuke razvojnom programeru i krajnjem korisniku.
3. Malware Crowdsourcing
Što ako preuzmete datoteku, ali niste sigurni je li sigurno pokrenuti? Kako ti provjerite radi li se o zlonamjernom softveru? Ako ste ga uopće uspjeli preuzeti, vaš ga antivirusni paket nije uspio prepoznati kao zlonamjeran, pa ono što možete učiniti je otići na VirusTotal ili sličan mrežni skener i učitati ga tamo. Ovi alati okupljaju desetke antivirusnih proizvoda kako bi provjerili je li dotična datoteka štetna. Ovo je, također, oblik masovne sigurnosti.
Neki tvrde da je kibernetički kriminal oblik masovne sigurnosti, ako ne i njezin krajnji oblik. Ovaj argument svakako ima zasluge, jer nitko nije više potaknut pronaći ranjivost u sustavu nego akter prijetnje koji je želi iskoristiti za novčanu dobit i ozloglašenost.
Na kraju dana, kriminalci su ti koji nenamjerno tjeraju industriju kibernetičke sigurnosti na prilagodbu, inovacije i poboljšanja.
Budućnost Crowdsourced sigurnosti
Prema analitičkoj tvrtki Budući uvid u tržište, globalno sigurnosno tržište s mnoštvom nastavit će rasti u godinama koje dolaze. Zapravo, procjene govore da će do 2032. godine vrijediti oko 243 milijuna dolara. To nije samo zbog inicijativa privatnog sektora, već i zato što su ih prihvatile vlade diljem svijeta masovna sigurnost—više američkih vladinih agencija ima aktivne programe za dodjelu grešaka i otkrivanje ranjivosti, za primjer.
Ova predviđanja svakako mogu biti korisna ako želite procijeniti u kojem se smjeru kreće industrija kibernetičke sigurnosti, ali ne treba biti ekonomist da bi se shvatilo zašto korporativni subjekti prihvaćaju pristup sigurnosti s obzirom na masovnost. Kako god pogledate na problem, brojke su provjerene. Osim toga, kakva bi šteta mogla biti u tome da grupa odgovornih i pouzdanih ljudi nadzire vašu imovinu u potrazi za ranjivostima 365 dana u godini?
Ukratko, osim ako se nešto dramatično ne promijeni u načinu na koji akteri prijetnji prodiru u softver, više je nego vjerojatno da ćemo vidjeti sigurnosne programe iz gomile kako iskaču lijevo i desno. Ovo je dobra vijest za programere, bijele hakere i potrošače, ali loša vijest za kibernetičke kriminalce.
Crowdsourcing Sigurnost za zaštitu od kibernetičkog kriminala
Kibernetička sigurnost postoji od prvog računala. Tijekom godina je poprimio mnoge oblike, ali cilj je uvijek bio isti: zaštititi od neovlaštenog pristupa i krađe. U idealnom svijetu ne bi bilo potrebe za kibersigurnošću. Ali u stvarnom svijetu, zaštita sebe čini veliku razliku.
Sve navedeno vrijedi i za tvrtke i za pojedince. No dok prosječna osoba može ostati relativno sigurna na internetu sve dok slijedi osnovne sigurnosne protokole, organizacije zahtijevaju sveobuhvatan pristup potencijalnim prijetnjama. Takav pristup prvenstveno bi se trebao temeljiti na sigurnosti bez povjerenja.