Прежде чем новый программный продукт появится на рынке, он проходит проверку на наличие уязвимостей. Каждая ответственная компания проводит эти тесты, чтобы защитить как своих клиентов, так и себя от киберугроз.
В последние годы разработчики все чаще полагаются на краудсорсинг для проведения расследований в области безопасности. Но что такое краудсорсинговая безопасность? Как это работает и чем отличается от других распространенных методов оценки рисков?
Как работает краудсорсинговая безопасность
Организации всех размеров традиционно использовали тестирование на проникновение для защиты своих систем. Ручное тестирование — это, по сути, имитация кибератаки, которая предназначена для выявления недостатков безопасности, как и реальная атака. Но в отличие от реальной атаки, после обнаружения эти уязвимости исправляются. Это повышает общий профиль безопасности рассматриваемой организации. Звучит просто.
Но есть некоторые вопиющие проблемы с тестированием на проникновение. Обычно это выполняется ежегодно, что просто недостаточно, учитывая, что все программное обеспечение регулярно обновляется. Во-вторых, поскольку рынок кибербезопасности достаточно насыщен, компании по тестированию пера иногда «находят» уязвимости там, где их на самом деле нет, чтобы оправдать взимание платы за свои услуги и выделиться среди их конкуренция. Кроме того, есть и проблемы с бюджетом — эти услуги могут быть довольно дорогостоящими.
Краудсорсинговая безопасность работает по совершенно другой модели. Он вращается вокруг приглашения группы людей для тестирования программного обеспечения на наличие проблем с безопасностью. Компании, использующие краудсорсинговое тестирование безопасности, приглашают группу людей или общественность в целом протестировать свои продукты. Это можно сделать напрямую или через стороннюю краудсорсинговую платформу.
Хотя к этим программам может присоединиться любой желающий, в первую очередь этичные хакеры (белые хакеры) или исследователи, как их называют в сообществе, которые участвуют в них. И они участвуют, потому что обычно за обнаружение бреши в системе безопасности выплачивается приличное финансовое вознаграждение. Очевидно, что каждая компания сама определяет суммы, но можно утверждать, что краудсорсинг дешевле и эффективнее в долгосрочной перспективе, чем традиционное тестирование на проникновение.
По сравнению с ручным тестированием и другими формами оценки рисков краудсорсинг имеет множество различных преимуществ. Для начала, независимо от того, насколько хорошую фирму по тестированию на проникновение вы наймете, большая группа людей, постоянно ищущих уязвимости в безопасности, с гораздо большей вероятностью обнаружит их. Другим очевидным преимуществом краудсорсинга является то, что любая такая программа может быть открытой, что означает, что она может работать непрерывно, поэтому уязвимости можно обнаруживать (и исправлять) круглый год.
3 типа краудсорсинговых программ безопасности
Большинство краудсорсинговых программ безопасности основаны на одной и той же базовой концепции финансового вознаграждения тех, кто обнаружит недостаток или уязвимость, но их можно сгруппировать в три основные категории.
1. Награды за ошибки
Практически каждый технологический гигант — от Facebook до Apple и Google — имеет активную программа вознаграждения за ошибки. Как они работают довольно просто: найди ошибку, и ты получишь вознаграждение. Эти вознаграждения варьируются от пары сотен долларов до нескольких миллионов, поэтому неудивительно, что некоторые этичные хакеры зарабатывают полный рабочий день, обнаруживая уязвимости в программах.
2. Программы раскрытия уязвимостей
Программы раскрытия уязвимостей очень похожи на Bug Bounty, но есть одно ключевое отличие: эти программы общедоступны. Другими словами, когда этичный хакер обнаруживает недостаток безопасности в программном продукте, этот недостаток предается гласности, чтобы все знали, в чем он заключается. В них часто участвуют фирмы по кибербезопасности: они обнаруживают уязвимость, пишут о ней отчет и дают рекомендации разработчику и конечному пользователю.
3. Краудсорсинг вредоносных программ
Что делать, если вы скачали файл, но не уверены, безопасно ли его запускать? Как ты проверьте, не вредоносное ли это ПО? Если вам удалось загрузить его в первую очередь, ваш антивирус не смог распознать его как вредоносный, поэтому вы можете зайти на VirusTotal или аналогичный онлайн-сканер и загрузить его. там. Эти инструменты объединяют десятки антивирусных продуктов, чтобы проверить, является ли рассматриваемый файл вредоносным. Это тоже форма краудсорсинговой безопасности.
Некоторые утверждают, что киберпреступность — это форма краудсорсинговой безопасности, если не ее окончательная форма. Этот аргумент, безусловно, заслуживает внимания, потому что никто не заинтересован в поиске уязвимости в системе больше, чем злоумышленник, стремящийся использовать ее для получения денежной выгоды и известности.
В конце концов, именно преступники непреднамеренно заставляют индустрию кибербезопасности адаптироваться, внедрять инновации и совершенствоваться.
Будущее краудсорсинговой безопасности
По данным аналитической компании Анализ будущего рынкаглобальный краудсорсинговый рынок безопасности будет продолжать расти в ближайшие годы. Фактически, по оценкам, к 2032 году он будет стоить около 243 миллионов долларов. Это связано не только с инициативами частного сектора, но и с тем, что правительства во всем мире безопасность на основе краудсорсинга — несколько правительственных агентств США имеют активные программы вознаграждения за обнаружение ошибок и раскрытия уязвимостей, для пример.
Эти прогнозы, безусловно, могут быть полезны, если вы хотите оценить, в каком направлении движется индустрия кибербезопасности. но не нужно быть экономистом, чтобы понять, почему корпоративные организации используют краудсорсинговый подход к безопасности. Как бы вы ни смотрели на проблему, цифры проверяются. Кроме того, что может быть плохого в том, что группа ответственных и заслуживающих доверия людей следит за вашими активами на наличие уязвимостей 365 дней в году?
Короче говоря, если что-то радикально не изменится в способах проникновения в программное обеспечение злоумышленников, мы, скорее всего, увидим, как краудсорсинговые программы безопасности появляются слева и справа. Это хорошая новость для разработчиков, белых хакеров и потребителей, но плохая новость для киберпреступников.
Краудсорсинг безопасности для защиты от киберпреступности
Кибербезопасность существует с момента появления первого компьютера. На протяжении многих лет он принимал различные формы, но цель всегда была одной и той же: защита от несанкционированного доступа и кражи. В идеальном мире не было бы необходимости в кибербезопасности. Но в реальном мире защита себя имеет все значение.
Все вышеперечисленное относится как к юридическим, так и к физическим лицам. Но в то время как обычный человек может оставаться в относительной безопасности в сети, если он соблюдает основные протоколы безопасности, организациям требуется всеобъемлющий подход к потенциальным угрозам. Такой подход должен в первую очередь основываться на безопасности с нулевым доверием.
