Prieš naujam programinės įrangos produktui patenkant į rinką, jis patikrinamas, ar nėra pažeidžiamumų. Šiuos testus atlieka kiekviena atsakinga įmonė, siekdama apsaugoti tiek savo klientus, tiek save nuo kibernetinių grėsmių.
Pastaraisiais metais kūrėjai, vykdydami saugumo tyrimus, vis dažniau pasikliovė sutelktiniu šaltiniu. Bet kas iš tikrųjų yra sutelktinio aprūpinimo sauga? Kaip tai veikia ir kaip jis lyginamas su kitais įprastais rizikos vertinimo metodais?
Kaip veikia „Crowdsourced“ sauga
Tradiciškai naudojo įvairaus dydžio organizacijos skverbties bandymai, siekiant apsaugoti savo sistemas. Rašiklio testavimas iš esmės yra imituota kibernetinė ataka, skirta atskleisti saugumo trūkumus, kaip ir tikros atakos atveju. Tačiau priešingai nei tikroje atakoje, kai tik aptinkama, šios spragos yra užtaisytos. Tai padidina bendrą atitinkamos organizacijos saugumo profilį. Skamba paprastai.
Tačiau yra keletas akivaizdžių problemų, susijusių su skverbties bandymu. Paprastai tai atliekama kasmet, o to tiesiog nepakanka, nes visa programinė įranga yra reguliariai atnaujinama. Antra, kadangi kibernetinio saugumo rinka yra gana prisotinta, rašiklius testuojančios įmonės kartais „randa“ pažeidžiamumų, kurių iš tikrųjų nėra, kad būtų galima pateisinti apmokestinimą už paslaugas ir išsiskirti iš jų konkurencija. Taip pat kyla problemų dėl biudžeto – šios paslaugos gali būti gana brangios.
„Crowdsourced“ sauga veikia pagal visiškai kitą modelį. Jos tikslas – pakviesti asmenų grupę išbandyti programinę įrangą dėl saugumo problemų. Įmonės, kurios naudoja sutelktinius saugos testus, siunčia kvietimą žmonių grupei arba visai visuomenei ištirti jų produktus. Tai galima padaryti tiesiogiai arba per trečiosios šalies sutelktinio šaltinio platformą.
Nors kiekvienas gali prisijungti prie šių programų, tai pirmiausia etiški įsilaužėliai (baltos kepurės įsilaužėliai) arba mokslininkai, kaip jie vadinami bendruomenėje, kurie juose dalyvauja. Ir jie dalyvauja, nes už saugumo trūkumo atradimą paprastai skiriamas tinkamas finansinis apdovanojimas. Akivaizdu, kad sumas nustato kiekviena įmonė, tačiau galima teigti, kad sutelktinis tiekimas yra pigesnis ir ilgainiui efektyvesnis nei tradicinis skverbties testavimas.
Palyginti su testavimu rašikliu ir kitomis rizikos įvertinimo formomis, sutelktinis tiekimas turi daug skirtingų privalumų. Iš pradžių, nesvarbu, kokią gerą įsiskverbimo tikrinimo įmonę samdote, didelė grupė žmonių, nuolat ieškančių saugumo spragų, yra daug labiau linkę jas atrasti. Kitas akivaizdus minios šaltinio privalumas yra tas, kad bet kuri tokia programa gali būti atvira, o tai reiškia, kad ji gali veikti nuolat, todėl pažeidžiamumas gali būti aptiktas (ir pataisytas) ištisus metus.
3 Crowdsourced saugos programų tipai
Dauguma minios saugos programų yra orientuotos į tą pačią pagrindinę koncepciją – finansiškai apdovanoti tuos, kurie atranda trūkumą ar pažeidžiamumą, tačiau jas galima suskirstyti į tris pagrindines kategorijas.
1. Bug Bounties
Beveik kiekvienas technologijų milžinas – nuo „Facebook“, „Apple“ iki „Google“ – turi aktyvų „Bug Bounty“ programa. Jų veikimo principas yra gana paprastas: atraskite klaidą ir gausite atlygį. Šie atlygiai svyruoja nuo poros šimtų dolerių iki kelių milijonų, todėl nenuostabu, kad kai kurie etiški įsilaužėliai uždirba visą darbo dieną, atradę programinės įrangos pažeidžiamumą.
2. Pažeidžiamumo atskleidimo programos
Pažeidžiamumo atskleidimo programos yra labai panašios į klaidų atskleidimo programas, tačiau yra vienas esminis skirtumas: šios programos yra viešos. Kitaip tariant, kai etiškas įsilaužėlis aptinka programinės įrangos produkto saugumo trūkumą, šis trūkumas yra paviešinamas, kad visi žinotų, kas tai yra. Kibernetinio saugumo įmonės dažnai juose dalyvauja: pastebi pažeidžiamumą, rašo apie tai ataskaitą ir pateikia rekomendacijas kūrėjui ir galutiniam vartotojui.
3. „Crowdsourcing“ kenkėjiškų programų
Ką daryti, jei atsisiunčiate failą, bet nesate tikri, ar jį saugu paleisti? Kaip tu patikrinkite, ar tai kenkėjiška programa? Jei iš pradžių pavyko jį atsisiųsti, jūsų antivirusinė programa neatpažino jo kaip kenkėjiška, todėl galite pereiti į „VirusTotal“ ar panašų internetinį skaitytuvą ir įkelti jį ten. Šie įrankiai sujungia daugybę antivirusinių produktų, kad patikrintų, ar atitinkamas failas yra kenksmingas. Tai taip pat yra sutelktinio saugumo forma.
Kai kurie teigia, kad elektroniniai nusikaltimai yra tam tikra sutelktinio saugumo forma, jei ne pati didžiausia jo forma. Šis argumentas neabejotinai turi prasmę, nes niekas nėra labiau skatinamas rasti sistemos pažeidžiamumą, nei grėsmės veikėjas, norintis ja išnaudoti piniginę naudą ir žinomumą.
Galų gale, nusikaltėliai yra tie, kurie netyčia verčia kibernetinio saugumo pramonę prisitaikyti, kurti naujoves ir tobulėti.
„Crowdsourced“ saugumo ateitis
Pasak analitinės įmonės Ateities rinkos įžvalgos, pasaulinė sutelktinio saugumo rinka ir toliau augs ateinančiais metais. Tiesą sakant, skaičiavimais, iki 2032 m. ji bus verta apie 243 mln. Taip yra ne tik dėl privataus sektoriaus iniciatyvų, bet ir dėl to, kad viso pasaulio vyriausybės prisidėjo sutelktinio šaltinio saugumas – kelios JAV vyriausybinės agentūros turi aktyvias klaidų atskleidimo ir pažeidžiamumo atskleidimo programas. pavyzdys.
Šios prognozės tikrai gali būti naudingos, jei norite įvertinti, kuria kryptimi juda kibernetinio saugumo pramonė, Tačiau nereikia ekonomisto, kad išsiaiškintų, kodėl verslo subjektai imasi sutelktinio šaltinio saugumo požiūriu. Kad ir kaip pažvelgtumėte į problemą, skaičiai bus patikrinti. Be to, kokia gali būti žala, jei grupė atsakingų ir patikimų žmonių 365 dienas per metus stebi jūsų turto pažeidžiamumą?
Trumpai tariant, nebent kažkas dramatiškai pasikeistų programinės įrangos įsiskverbimo į grėsmę subjektams būdu, daugiau nei tikėtina, kad kairėn ir dešinėn pasirodys minios saugos programos. Tai gera žinia kūrėjams, baltųjų skrybėlių įsilaužėliams ir vartotojams, tačiau bloga žinia kibernetiniams nusikaltėliams.
„Crowdsourcing“ saugumas, skirtas apsisaugoti nuo elektroninių nusikaltimų
Kibernetinis saugumas egzistuoja nuo pat pirmojo kompiuterio. Bėgant metams ji įgavo įvairių formų, tačiau tikslas visada buvo tas pats: apsaugoti nuo neteisėtos prieigos ir vagystės. Idealiame pasaulyje kibernetinio saugumo nereikėtų. Tačiau realiame pasaulyje apsisaugoti yra labai svarbu.
Visa tai, kas išdėstyta pirmiau, galioja tiek įmonėms, tiek fiziniams asmenims. Tačiau nors paprastas žmogus gali išlikti gana saugus internete, kol laikosi pagrindinių saugos protokolų, organizacijoms reikia visapusiško požiūrio į galimas grėsmes. Toks požiūris pirmiausia turėtų būti pagrįstas nulinio pasitikėjimo saugumu.