Før et nytt programvareprodukt kommer på markedet, testes det for sårbarheter. Hvert ansvarlig selskap utfører disse testene for å beskytte både kundene og seg selv mot cybertrusler.
De siste årene har utviklere i økende grad vært avhengig av crowddsourcing for å utføre sikkerhetsundersøkelser. Men hva er egentlig crowdsourced sikkerhet? Hvordan fungerer det, og hvordan er det sammenlignet med andre vanlige risikovurderingsmetoder?
Hvordan Crowdsourced Security fungerer
Organisasjoner i alle størrelser har tradisjonelt brukt penetrasjonstesting for å sikre systemene deres. Penntesting er i hovedsak et simulert nettangrep som er ment å avsløre sikkerhetsfeil, akkurat som et ekte angrep ville gjort. Men i motsetning til i et ekte angrep, når de først er oppdaget, er disse sårbarhetene lappet opp. Dette øker den generelle sikkerhetsprofilen til den aktuelle organisasjonen. Høres enkelt ut.
Men det er noen store problemer med penetrasjonstesting. Det utføres vanligvis årlig, noe som rett og slett ikke er nok, gitt at all programvare oppdateres regelmessig. For det andre, fordi cybersikkerhetsmarkedet er ganske mettet, "finner" selskaper som tester penner noen ganger sårbarheter der det egentlig ikke er noen for å rettferdiggjøre å ta betalt for tjenestene deres og skille seg ut fra konkurrentene deres. Så er det også budsjettmessige bekymringer - disse tjenestene kan være ganske kostbare.
Crowdsourced sikkerhet fungerer på en helt annen modell. Det dreier seg om å invitere en gruppe enkeltpersoner til å teste programvare for sikkerhetsproblemer. Bedrifter som bruker crowdsourcet sikkerhetstesting, inviterer en gruppe mennesker, eller offentligheten som sådan, til å undersøke produktene deres. Dette kan gjøres direkte, eller gjennom en tredjeparts crowdsourcing-plattform.
Selv om hvem som helst kan bli med i disse programmene, er det først og fremst det etiske hackere (white hat hackere) eller forskere, som de kalles i samfunnet, som deltar i dem. Og de deltar fordi det vanligvis er en anstendig økonomisk pris for å oppdage en sikkerhetsfeil. Det er selvsagt opp til hvert enkelt selskap å bestemme summene, men det kan hevdes at crowddsourcing er billigere og mer effektivt i det lange løp enn tradisjonell penetrasjonstesting.
Sammenlignet med penntesting og andre former for risikovurdering, har crowddsourcing mange forskjellige fordeler. Til å begynne med, uansett hvor bra et penetrasjonstesterfirma du ansetter, er det langt mer sannsynlig at en stor gruppe mennesker som konsekvent leter etter sikkerhetssårbarheter oppdager dem. En annen åpenbar fordel med crowdsourcing er at ethvert slikt program kan være åpent, noe som betyr at det kan kjøres kontinuerlig, slik at sårbarheter kan oppdages (og lappes opp) hele året.
3 typer Crowdsourced sikkerhetsprogrammer
De fleste crowdsourcede sikkerhetsprogrammene er sentrert rundt det samme grunnleggende konseptet for økonomisk belønning av de som oppdager en feil eller sårbarhet, men de kan grupperes i tre hovedkategorier.
1. Bug Bounties
Praktisk talt hver teknologigigant – fra Facebook, over Apple, til Google – har en aktiv bug bounty-program. Hvordan de fungerer er ganske enkelt: Oppdag en feil, og du vil motta en belønning. Disse belønningene varierer fra et par hundre dollar til noen få millioner, så det er ikke rart at noen etiske hackere tjener heltidsinntekter ved å oppdage programvaresårbarheter.
2. Programmer for avsløring av sårbarhet
Programmer for avsløring av sårbarheter ligner veldig på bug-bounties, men det er én viktig forskjell: disse programmene er offentlige. Med andre ord, når en etisk hacker oppdager en sikkerhetsfeil i et programvareprodukt, blir denne feilen publisert slik at alle vet hva den er. Cybersikkerhetsfirmaer deltar ofte i disse: de oppdager en sårbarhet, skriver en rapport om den og tilbyr anbefalinger til utvikleren og sluttbrukeren.
3. Skadevare Crowdsourcing
Hva om du laster ned en fil, men er usikker på om den er trygg å kjøre? Hvordan gjør du sjekk om det er skadelig programvare? Hvis du klarte å laste den ned i utgangspunktet, klarte ikke antiviruspakken å gjenkjenne den som ondsinnet, så det du kan gjøre er å gå over til VirusTotal eller en lignende nettskanner og laste den opp der. Disse verktøyene samler dusinvis av antivirusprodukter for å sjekke om den aktuelle filen er skadelig. Dette er også en form for crowdsourcet sikkerhet.
Noen hevder at nettkriminalitet er en form for crowdsourcet sikkerhet, om ikke den ultimate formen for det. Dette argumentet har absolutt fortjeneste, fordi ingen er mer motivert til å finne en sårbarhet i et system enn en trusselaktør som ønsker å utnytte den for økonomisk vinning og beryktethet.
Til syvende og sist er det kriminelle som utilsiktet tvinger cybersikkerhetsindustrien til å tilpasse seg, innovere og forbedre seg.
Fremtiden for Crowdsourced Security
Ifølge analysefirmaet Fremtidig markedsinnsikt, vil det globale crowdsourced sikkerhetsmarkedet fortsette å vokse i årene som kommer. Faktisk sier estimater at den vil være verdt rundt 243 millioner dollar innen 2032. Dette skyldes ikke bare initiativer fra privat sektor, men også fordi regjeringer over hele verden har omfavnet crowdsourcet sikkerhet – flere amerikanske myndighetsorganer har aktive program for avsløring av feil og sårbarhet, for eksempel.
Disse spådommene kan absolutt være nyttige hvis du vil måle i hvilken retning cybersikkerhetsindustrien beveger seg, men det trengs ikke en økonom for å finne ut hvorfor bedrifter tar i bruk en crowdsourcing-tilnærming til sikkerhet. Uansett hvordan du ser på problemet, sjekker tallene ut. I tillegg, hva kan muligens være skaden ved å ha en gruppe ansvarlige og pålitelige mennesker som overvåker eiendelene dine for sårbarheter 365 dager i året?
Kort sagt, med mindre noe dramatisk endrer måten programvare penetreres av trusselaktører, er det mer enn sannsynlig at vi ser crowdsourcede sikkerhetsprogrammer dukker opp til venstre og høyre. Dette er gode nyheter for utviklere, white hat hackere og forbrukere, men dårlige nyheter for nettkriminelle.
Crowdsourcing-sikkerhet for å beskytte mot nettkriminalitet
Cybersikkerhet har eksistert siden den første datamaskinen. Det har tatt mange former opp gjennom årene, men målet har alltid vært det samme: å beskytte mot uautorisert tilgang og tyveri. I en ideell verden ville det ikke være behov for cybersikkerhet. Men i den virkelige verden utgjør det å beskytte deg selv hele forskjellen.
Alt det ovennevnte gjelder både for bedrifter og privatpersoner. Men mens den gjennomsnittlige personen kan være relativt trygg på nettet så lenge de følger grunnleggende sikkerhetsprotokoller, krever organisasjoner en altomfattende tilnærming til potensielle trusler. En slik tilnærming bør først og fremst være basert på null tillitssikkerhet.