Pirms jauna programmatūras produkta nonākšanas tirgū tiek pārbaudīta ievainojamība. Katrs atbildīgs uzņēmums veic šīs pārbaudes, lai pasargātu gan savus klientus, gan sevi no kiberdraudiem.
Pēdējos gados izstrādātāji arvien vairāk ir paļāvušies uz kolektīvo pakalpojumu izmantošanu, lai veiktu drošības izmeklēšanu. Bet kas īsti ir pūļa drošība? Kā tas darbojas un kā to salīdzina ar citām izplatītām riska novērtēšanas metodēm?
Kā darbojas Crowdsourced drošība
Tradicionāli tiek izmantotas visu izmēru organizācijas iespiešanās pārbaude, lai aizsargātu savas sistēmas. Pildspalvas testēšana būtībā ir simulēts kiberuzbrukums, kas ir paredzēts, lai atklātu drošības nepilnības, tāpat kā īsts uzbrukums. Taču atšķirībā no reāla uzbrukuma, kad tās ir atklātas, šīs ievainojamības tiek aizlāpītas. Tas uzlabo attiecīgās organizācijas vispārējo drošības profilu. Izklausās vienkārši.
Taču ar iespiešanās testēšanu ir dažas acīmredzamas problēmas. Tas parasti tiek veikts katru gadu, kas vienkārši nav pietiekami, ņemot vērā, ka visa programmatūra tiek regulāri atjaunināta. Otrkārt, tā kā kiberdrošības tirgus ir diezgan piesātināts, pildspalvu testēšanas uzņēmumi dažkārt "atrod" ievainojamības, kurās tādu patiešām nav, lai attaisnotu maksas iekasēšanu par viņu pakalpojumiem un izceltos no viņu konkurenci. Turklāt ir arī budžeta problēmas — šie pakalpojumi var būt diezgan dārgi.
Crowdsourced drošība darbojas uz pavisam cita modeļa. Tas ir saistīts ar personu grupas uzaicināšanu pārbaudīt programmatūras drošības problēmas. Uzņēmumi, kas izmanto pūļa drošības testēšanu, uzaicina cilvēku grupu vai sabiedrību kā tādu pārbaudīt savus produktus. To var izdarīt tieši vai izmantojot trešās puses pūļa pakalpojumu platformu.
Lai gan ikviens var pievienoties šīm programmām, tas galvenokārt ir ētiskie hakeri (balto cepuru hakeri) vai pētnieki, kā viņus sauc kopienā, kas tajos piedalās. Un viņi piedalās, jo par drošības trūkumu atklāšanu parasti tiek piešķirta pienācīga finansiāla balva. Acīmredzot summas ir katra uzņēmuma ziņā, taču var apgalvot, ka pūļa resursi ilgtermiņā ir lētāki un efektīvāki nekā tradicionālā iespiešanās pārbaude.
Salīdzinot ar pildspalvu testēšanu un citiem riska novērtēšanas veidiem, kolektīvajam darbam ir daudz dažādu priekšrocību. Sākumā neatkarīgi no tā, cik labu iespiešanās pārbaudītāju jūs nolīgsiet, lielai cilvēku grupai, kas pastāvīgi meklē drošības ievainojamības, ir daudz lielāka iespēja tās atklāt. Vēl viena acīmredzama pūļa pakalpojumu priekšrocība ir tā, ka jebkura šāda programma var būt beztermiņa, kas nozīmē, ka tā var darboties nepārtraukti, tādējādi ievainojamības var atklāt (un aizlāpīt) visu gadu.
3 Crowdsourced drošības programmu veidi
Lielākā daļa kolektīvo drošības programmu ir vērstas uz to pašu pamatkoncepciju, proti, finansiāli atalgot tos, kuri atklāj trūkumus vai ievainojamību, taču tās var iedalīt trīs galvenajās kategorijās.
1. Bug Bounties
Gandrīz katram tehnoloģiju gigantam — no Facebook, Apple un Google — ir aktīvs kļūdu atlīdzības programma. To darbība ir diezgan vienkārša: atklājiet kļūdu, un jūs saņemsiet atlīdzību. Šīs atlīdzības svārstās no pāris simtiem dolāru līdz dažiem miljoniem, tāpēc nav brīnums, ka daži ētiski hakeri gūst pilnas slodzes ienākumus, atklājot programmatūras ievainojamības.
2. Ievainojamības atklāšanas programmas
Ievainojamības atklāšanas programmas ir ļoti līdzīgas kļūdu piemaksām, taču ir viena būtiska atšķirība: šīs programmas ir publiskas. Citiem vārdiem sakot, kad ētisks hakeris atklāj programmatūras produkta drošības trūkumu, šis trūkums tiek publiskots, lai visi zinātu, kas tas ir. Kiberdrošības firmas bieži tajās piedalās: viņi konstatē ievainojamību, raksta par to ziņojumu un piedāvā ieteikumus izstrādātājam un galalietotājam.
3. Ļaunprātīgas programmatūras pūļa avoti
Ko darīt, ja lejupielādējat failu, bet neesat pārliecināts, vai tas ir droši palaist? Kā tu pārbaudiet, vai tā nav ļaunprātīga programmatūra? Ja jums vispirms izdevās to lejupielādēt, jūsu pretvīrusu komplekts to nevarēja atpazīt kā ir ļaunprātīga, tāpēc varat doties uz VirusTotal vai līdzīgu tiešsaistes skeneri un augšupielādēt to tur. Šie rīki apkopo desmitiem pretvīrusu produktu, lai pārbaudītu, vai attiecīgais fails nav kaitīgs. Arī šī ir kolektīvās drošības forma.
Daži apgalvo, ka kibernoziegumi ir kolektīvās drošības veids, ja ne pats galvenais. Šim argumentam noteikti ir pamats, jo neviens nav vairāk motivēts atrast sistēmas ievainojamību kā apdraudējuma dalībnieks, kurš vēlas to izmantot, lai gūtu peļņu un slavu.
Galu galā noziedznieki ir tie, kas netīši piespiež kiberdrošības nozari pielāgoties, ieviest jauninājumus un uzlaboties.
Crowdsourced drošības nākotne
Saskaņā ar analītikas uzņēmuma datiem Nākotnes tirgus ieskati, globālais pūļa drošības tirgus turpinās augt arī turpmākajos gados. Faktiski aplēses liecina, ka līdz 2032. gadam tā vērtība būs aptuveni 243 miljoni USD. Tas nav saistīts tikai ar privātā sektora iniciatīvām, bet arī tāpēc, ka valdības visā pasaulē ir to pieņēmušas pūļa drošība — vairākām ASV valdības aģentūrām ir aktīvas kļūdu novēršanas un ievainojamības atklāšanas programmas, piemērs.
Šīs prognozes noteikti var būt noderīgas, ja vēlaties novērtēt, kādā virzienā virzās kiberdrošības nozare, taču nav nepieciešams ekonomists, lai noskaidrotu, kāpēc korporatīvās vienības drošības jomā izmanto pūļa pakalpojumu pieeju. Neatkarīgi no tā, kā jūs aplūkojat problēmu, skaitļi tiek pārbaudīti. Turklāt kāds varētu būt kaitējums, ja atbildīgu un uzticamu cilvēku grupa 365 dienas gadā pārrauga jūsu aktīvu ievainojamību?
Īsāk sakot, ja vien kaut kas dramatiski nemainīsies tajā, kā programmatūras iekļūšanu apdraud apdraudējuma dalībnieki, mēs, visticamāk, redzēsim pūļa nodrošinātās drošības programmas, kas parādās pa kreisi un pa labi. Šīs ir labas ziņas izstrādātājiem, balto cepuru hakeriem un patērētājiem, bet sliktas ziņas kibernoziedzniekiem.
Crowdsourcing drošība aizsardzībai pret kibernoziegumiem
Kiberdrošība pastāv kopš pirmā datora. Gadu gaitā tas ir ieguvis dažādas formas, taču mērķis vienmēr ir bijis viens: aizsargāt pret nesankcionētu piekļuvi un zādzībām. Ideālā pasaulē kiberdrošība nebūtu vajadzīga. Bet reālajā pasaulē sevis aizsardzība ir ļoti svarīga.
Viss iepriekš minētais attiecas gan uz uzņēmumiem, gan privātpersonām. Bet, lai gan vidusmēra cilvēks tiešsaistē var būt samērā drošs, ja vien ievēro pamata drošības protokolus, organizācijām nepieciešama visaptveroša pieeja iespējamiem draudiem. Šādai pieejai galvenokārt būtu jābalstās uz nulles uzticības drošību.
