Preden nov programski izdelek pride na trg, se testira na ranljivosti. Vsako odgovorno podjetje izvaja te teste, da bi svoje stranke in sebe zaščitilo pred kibernetskimi grožnjami.
V zadnjih letih se razvijalci pri izvajanju varnostnih preiskav vedno bolj zanašajo na množično iskanje. Toda kaj točno je množična varnost? Kako deluje in kakšna je v primerjavi z drugimi običajnimi metodami ocenjevanja tveganja?
Kako deluje množična varnost
Tradicionalno uporabljajo organizacije vseh velikosti testiranje penetracije za zaščito svojih sistemov. Testiranje peresa je v bistvu simuliran kibernetski napad, ki naj bi razkril varnostne pomanjkljivosti, tako kot bi to storil pravi napad. Toda v nasprotju z resničnim napadom se te ranljivosti po odkritju popravijo. To poveča splošni varnostni profil zadevne organizacije. Sliši se preprosto.
Toda pri testiranju prodora je nekaj očitnih težav. Običajno se izvaja letno, kar pa glede na to, da se vsa programska oprema redno posodablja, preprosto ni dovolj. Drugič, ker je trg kibernetske varnosti precej nasičen, podjetja za testiranje peres včasih "najdejo" ranljivosti, kjer jih v resnici ni, da bi upravičili zaračunavanje svojih storitev in izstopali njihova konkurenca. Potem so tu še proračunski pomisleki – te storitve so lahko precej drage.
Crowdsourced varnost deluje po popolnoma drugačnem modelu. Gre za povabilo skupini posameznikov, da testirajo programsko opremo glede varnostnih težav. Podjetja, ki uporabljajo množično varnostno testiranje, povabijo skupino ljudi ali javnost kot tako, da preizkusi njihove izdelke. To je mogoče storiti neposredno ali prek platforme za zbiranje množic tretjih oseb.
Čeprav se lahko kdorkoli pridruži tem programom, je primarno etični hekerji (beli hekerji) ali raziskovalci, kot se imenujejo v skupnosti, ki pri njih sodeluje. In sodelujejo, ker je običajno za odkritje varnostne napake primerna finančna nagrada. Očitno je, da mora vsako podjetje določiti vsote, vendar je mogoče trditi, da je crowdsourcing cenejši in dolgoročno učinkovitejši od tradicionalnega penetracijskega testiranja.
V primerjavi s testiranjem peresnikov in drugimi oblikami ocenjevanja tveganja ima množično pridobivanje veliko različnih prednosti. Za začetek, ne glede na to, kako dobro podjetje za preizkuševanje penetracije najamete, je veliko bolj verjetno, da jih bo odkrila velika skupina ljudi, ki nenehno išče varnostne ranljivosti. Druga očitna prednost crowdsourcinga je, da je vsak tak program lahko odprt, kar pomeni, da lahko deluje neprekinjeno, tako da je mogoče ranljivosti odkrivati (in popravljati) vse leto.
3 vrste množičnih varnostnih programov
Večina množičnih varnostnih programov je osredotočena na isti osnovni koncept finančnega nagrajevanja tistih, ki odkrijejo pomanjkljivost ali ranljivost, vendar jih je mogoče razvrstiti v tri glavne kategorije.
1. Nagrade za napake
Skoraj vsak tehnološki velikan – od Facebooka, prek Appla do Googla – ima aktivno bug bounty program. Kako delujejo, je precej preprosto: odkrijte napako in prejeli boste nagrado. Te nagrade se gibljejo od nekaj sto dolarjev do nekaj milijonov, zato ni čudno, da nekateri etični hekerji zaslužijo polni delovni čas z odkrivanjem ranljivosti programske opreme.
2. Programi za razkrivanje ranljivosti
Programi za razkrivanje ranljivosti so zelo podobni nagradam za napake, vendar obstaja ena ključna razlika: ti programi so javni. Z drugimi besedami, ko etični heker odkrije varnostno napako v programskem izdelku, se ta napaka objavi, tako da vsi vedo, kaj je. Pri tem pogosto sodelujejo podjetja za kibernetsko varnost: opazijo ranljivost, napišejo poročilo o njej in ponudijo priporočila za razvijalca in končnega uporabnika.
3. Množično iskanje zlonamerne programske opreme
Kaj pa, če prenesete datoteko, vendar niste prepričani, ali je varno zagnati? Kako preverite, ali gre za zlonamerno programsko opremo? Če ste ga sploh uspeli prenesti, ga vaš protivirusni paket ni prepoznal kot zlonamerno, zato se lahko obrnete na VirusTotal ali podoben spletni skener in jo naložite tam. Ta orodja združujejo na desetine protivirusnih izdelkov, da preverijo, ali je zadevna datoteka škodljiva. Tudi to je oblika množične varnosti.
Nekateri trdijo, da je kibernetski kriminal oblika množične varnosti, če ne celo njena končna oblika. Ta argument je vsekakor utemeljen, saj nihče ni bolj spodbujen za iskanje ranljivosti v sistemu kot akter grožnje, ki jo želi izkoristiti za denarni dobiček in razvpitost.
Konec koncev so kriminalci tisti, ki industrijo kibernetske varnosti nehote prisilijo k prilagajanju, inovacijam in izboljšavam.
Prihodnost množične varnosti
Po podatkih analitičnega podjetja Prihodnji vpogled v trg, bo svetovni množični varnostni trg v prihodnjih letih še naprej rasel. Pravzaprav ocene pravijo, da bo do leta 2032 vreden okoli 243 milijonov dolarjev. To ni samo zaradi pobud zasebnega sektorja, ampak tudi zato, ker so sprejele vlade po vsem svetu množična varnost – več ameriških vladnih agencij ima aktivne programe za nagrajevanje hroščev in razkrivanje ranljivosti, za primer.
Te napovedi so vsekakor lahko koristne, če želite oceniti, v katero smer se premika industrija kibernetske varnosti, vendar ni potreben ekonomist, da bi ugotovil, zakaj podjetja sprejemajo pristop množičnega izvajanja varnosti. Kakorkoli gledate na zadevo, se številke potrdijo. Poleg tega, kakšna bi lahko bila škoda, če bi skupina odgovornih in zaupanja vrednih ljudi 365 dni na leto nadzorovala vaša sredstva glede ranljivosti?
Skratka, razen če se kaj dramatično spremeni v načinu, kako akterji groženj prodirajo v programsko opremo, bomo več kot verjetno videli množične varnostne programe, ki se pojavljajo levo in desno. To je dobra novica za razvijalce, bele hekerje in potrošnike, vendar slaba novica za kibernetske kriminalce.
Crowdsourcing Security za zaščito pred kibernetskimi kriminali
Kibernetska varnost obstaja že od prvega računalnika. V preteklih letih je dobil veliko oblik, vendar je bil cilj vedno isti: zaščititi pred nepooblaščenim dostopom in krajo. V idealnem svetu ne bi bilo potrebe po kibernetski varnosti. Toda v resničnem svetu je pomembno, da se zaščitite.
Vse našteto velja tako za podjetja kot posameznike. Toda medtem ko lahko povprečna oseba ostane razmeroma varna na spletu, dokler upošteva osnovne varnostne protokole, organizacije potrebujejo vseobsegajoč pristop k potencialnim grožnjam. Takšen pristop bi moral temeljiti predvsem na varnosti brez zaupanja.