Пре него што нови софтверски производ изађе на тржиште, тестира се на рањивости. Свака одговорна компанија спроводи ове тестове, како би заштитила своје клијенте и себе од сајбер претњи.
Последњих година, програмери се све више ослањају на цровдсоурцинг за спровођење безбедносних истрага. Али шта је заправо обезбеђење скупова? Како функционише и како се пореди са другим уобичајеним методама процене ризика?
Како функционише Цровдсоурцед безбедност
Традиционално се користе организације свих величина тестирање пенетрације да би се осигурали њихови системи. Тестирање оловком је у суштини симулирани сајбер напад који има за циљ да разоткрије безбедносне пропусте, баш као што би прави напад био. Али за разлику од правог напада, када се једном открију, ове рањивости се закрпе. Ово повећава укупни безбедносни профил дотичне организације. Звучи једноставно.
Али постоје неки очигледни проблеми са тестирањем пенетрације. Обично се обавља годишње, што једноставно није довољно, с обзиром на то да се сав софтвер редовно ажурира. Друго, пошто је тржиште сајбер-безбедности прилично засићено, компаније за тестирање оловке понекад „нађу“ рањивости тамо где их заиста нема како би оправдали наплату својих услуга и издвојили се од њихова конкуренција. Затим, ту су и буџетски проблеми — ове услуге могу бити прилично скупе.
Цровдсоурцед безбедност ради на потпуно другачијем моделу. Она се врти око позивања групе појединаца да тестирају софтвер за безбедносна питања. Компаније које користе масовно тестирање безбедности упућују позив групи људи, или јавности као таквој, да испитају своје производе. Ово се може урадити директно или преко платформе за цровдсоурцинг треће стране.
Иако се свако може придружити овим програмима, то је првенствено етички хакери (бели хакери) или истраживачи, како их зову унутар заједнице, који учествују у њима. И учествују јер обично постоји пристојна финансијска награда за откривање безбедносне грешке. Очигледно, на свакој компанији је да одреди суме, али се може тврдити да је цровдсоурцинг јефтинији и дугорочно ефикаснији од традиционалног тестирања пенетрације.
У поређењу са тестирањем оловком и другим облицима процене ризика, цровдсоурцинг има много различитих предности. За почетак, без обзира на то колико је добра фирма за тестирање пенетрације коју ангажујете, већа је вероватноћа да ће их открити велика група људи који доследно траже безбедносне пропусте. Још једна очигледна предност цровдсоурцинга је то што сваки такав програм може бити отворен, што значи да може да ради непрекидно, тако да се рањивости могу открити (и поправити) током целе године.
3 врсте Цровдсоурцед безбедносних програма
Већина безбедносних програма за масовно коришћење су усредсређени на исти основни концепт финансијског награђивања оних који открију недостатак или рањивост, али се могу груписати у три главне категорије.
1. Буг Боунтиес
Практично сваки технолошки гигант — од Фејсбука, преко Аппле-а, до Гугла — има активног буг боунти програм. Начин на који раде је прилично једноставан: откријте грешку и добићете награду. Ове награде се крећу од неколико стотина долара до неколико милиона, тако да није ни чудо да неки етички хакери зарађују пуне приходе откривајући рањивости софтвера.
2. Програми за откривање рањивости
Програми за откривање рањивости су веома слични наградама за грешке, али постоји једна кључна разлика: ови програми су јавни. Другим речима, када етички хакер открије безбедносни пропуст у софтверском производу, та грешка се објављује тако да сви знају шта је то. Фирме за сајбер безбедност често учествују у томе: уочавају рањивост, пишу извештај о њој и нуде препоруке за програмера и крајњег корисника.
3. Малвер Цровдсоурцинг
Шта ако преузмете датотеку, али нисте сигурни да ли је безбедно за покретање? Како сте проверите да ли је злонамерни софтвер? Ако сте успели да га преузмете на првом месту, ваш антивирусни пакет га није препознао као злонамерно, па оно што можете да урадите је да одете на ВирусТотал или сличан онлајн скенер и отпремите га тамо. Ови алати обједињују десетине антивирусних производа да би проверили да ли је дотична датотека штетна. Ово је, такође, један облик обезбеђења скупова.
Неки тврде да је сајбер-криминал облик безбедности прикупљене од стране људи, ако не и њен крајњи облик. Овај аргумент свакако има заслуге, јер нико није више подстакнут да пронађе рањивост у систему од актера претње који га жели искористити за новчану добит и познату славу.
На крају крајева, криминалци су ти који нехотице терају индустрију сајбер безбедности да се прилагоди, иновира и побољша.
Будућност Цровдсоурцед безбедности
Према подацима аналитичке фирме Увид у будућност тржишта, глобално тржиште обезбеђења за масовно коришћење ће наставити да расте у годинама које долазе. У ствари, процене говоре да ће вредети око 243 милиона долара до 2032. Ово није само због иницијатива приватног сектора, већ и због тога што су их владе широм света прихватиле безбедност из групе – више владиних агенција САД има активне програме за награђивање грешака и откривање рањивости, за пример.
Ова предвиђања свакако могу бити корисна ако желите да процените у ком правцу се креће индустрија сајбер безбедности, али није потребан економиста да би се открило зашто корпоративни ентитети усвајају приступ безбедности са цровдсоурцинга. Како год да погледате проблем, проверавају се бројеви. Осим тога, шта би могла бити штета у томе да група одговорних и поузданих људи надгледа вашу имовину у потрази за рањивостима 365 дана у години?
Укратко, осим ако се нешто драматично не промени у начину на који актери претњи продиру у софтвер, већа је вероватноћа да ћемо видети како се безбедносни програми из групе цровдсоурце-а појављују лево и десно. Ово је добра вест за програмере, беле хакере и потрошаче, али лоша за сајбер криминалце.
Цровдсоурцинг Сецурити за заштиту од сајбер криминала
Сајбер безбедност постоји од првог рачунара. Током година је попримио многе облике, али је циљ увек био исти: заштита од неовлашћеног приступа и крађе. У идеалном свету не би било потребе за сајбер-безбедношћу. Али у стварном свету, заштита себе чини сву разлику.
Све горе наведено важи и за предузећа и за појединце. Али док просечна особа може да остане релативно безбедна на мрежи све док прати основне безбедносне протоколе, организације захтевају свеобухватан приступ потенцијалним претњама. Такав приступ првенствено треба да се заснива на безбедности без поверења.
