Enne kui uus tarkvaratoode turule jõuab, testitakse seda turvaaukude suhtes. Iga vastutustundlik ettevõte viib neid teste läbi, et kaitsta nii oma kliente kui ka ennast küberohtude eest.
Viimastel aastatel on arendajad turvauurimiste läbiviimisel üha enam tuginenud ühishankele. Aga mis täpselt on ühisturbe? Kuidas see toimib ja kuidas see on võrreldav teiste levinud riskihindamise meetoditega?
Kuidas Crowdsourced-turvalisus töötab
Traditsiooniliselt on seda kasutanud igas suuruses organisatsioonid läbitungimistestid oma süsteemide turvamiseks. Pliiatsi testimine on sisuliselt simuleeritud küberrünnak, mille eesmärk on paljastada turvavigu, nagu tõeline rünnak. Kuid erinevalt tõelisest rünnakust on need haavatavused pärast avastamist lapitud. See tõstab kõnealuse organisatsiooni üldist turvaprofiili. Kõlab lihtsalt.
Kuid läbitungimistestiga on mõned silmatorkavad probleemid. Tavaliselt tehakse seda igal aastal, millest lihtsalt ei piisa, kuna kogu tarkvara uuendatakse regulaarselt. Teiseks, kuna küberjulgeolekuturg on küllaltki küllastunud, "leivad" pastakat testivad ettevõtted mõnikord haavatavused, kus neid tegelikult pole, et õigustada nende teenuste eest tasu võtmist ja eristuda nende konkurents. Siis on ka eelarveprobleemid – need teenused võivad olla üsna kulukad.
Crowdsourced turvalisus töötab täiesti erineval mudelil. Selle eesmärk on kutsuda inimesi rühma turvaprobleemide osas tarkvara testima. Ettevõtted, kes kasutavad ühisturbeteste, kutsuvad inimesi või üldsust oma tooteid uurima. Seda saab teha otse või kolmanda osapoole ühishankeplatvormi kaudu.
Kuigi igaüks võib nende programmidega liituda, on see peamiselt eetilised häkkerid (valge mütsi häkkerid) või teadlased, nagu neid kogukonnas kutsutakse, kes neis osalevad. Ja nad osalevad, sest tavaliselt antakse turvavea avastamise eest korralik rahaline auhind. Ilmselgelt on iga ettevõtte enda otsustada summad, kuid võib väita, et ühishanke kasutamine on odavam ja pikas perspektiivis tõhusam kui traditsiooniline läbitungimistest.
Võrreldes pliiatsi testimise ja muude riskihindamise vormidega on ühishanke loomisel palju erinevaid eeliseid. Alustuseks, olenemata sellest, kui hea läbitungimistestifirma te palkate, on suur grupp inimesi, kes pidevalt turvaauke otsivad, neid palju tõenäolisemalt avastada. Ühishanke teine ilmselge eelis on see, et iga selline programm võib olla avatud, mis tähendab, et seda saab pidevalt töötada, nii et haavatavusi saab avastada (ja parandada) aastaringselt.
3 Crowdsourced turbeprogrammide tüübid
Enamik ühisturbeprogramme on keskendunud samale põhikontseptsioonile, mille eesmärk on rahaliselt premeerida neid, kes avastavad vea või haavatavuse, kuid need võib rühmitada kolme põhikategooriasse.
1. Bug Bounties
Peaaegu igal tehnoloogiahiiglasel – alates Facebookist, Apple’ist ja Google’ini – on aktiivne bug bounty programm. Nende tööpõhimõte on üsna lihtne: avastage viga ja saate tasu. Need hüved ulatuvad paarisajast dollarist mõne miljonini, seega pole ime, et mõned eetilised häkkerid teenivad täiskohaga sissetulekut tarkvara haavatavuste avastamisel.
2. Haavatavuse avalikustamise programmid
Haavatavuse avalikustamise programmid on väga sarnased veapreemiatega, kuid on üks oluline erinevus: need programmid on avalikud. Teisisõnu, kui eetiline häkker avastab tarkvaratootes turvavea, avalikustatakse see viga, et kõik teaksid, mis see on. Küberturbefirmad osalevad neis sageli: nad avastavad haavatavuse, kirjutavad selle kohta aruande ning pakuvad arendajale ja lõppkasutajale soovitusi.
3. Pahavara ühishange
Mida teha, kui laadite faili alla, kuid pole kindel, kas seda on ohutu käitada? Kuidas sa kontrollige, kas see on pahavara? Kui teil õnnestus see esmalt alla laadida, ei tuvastanud teie viirusetõrjekomplekt seda kui pahatahtlik, nii et saate minna VirusTotali või sarnase veebiskanneri juurde ja see üles laadida seal. Need tööriistad koondavad kümneid viirusetõrjetooteid, et kontrollida, kas kõnealune fail on kahjulik. Ka see on teatud tüüpi turvalisuse vorm.
Mõned väidavad, et küberkuritegevus on rahvaturbe vorm, kui mitte selle ülim vorm. Sellel argumendil on kindlasti kasu, sest kellelgi pole rohkem motivatsiooni leida süsteemis haavatavust kui ohus osalejal, kes soovib seda rahalise kasu ja kurikuulsuse nimel ära kasutada.
Lõppude lõpuks on kurjategijad need, kes sunnivad küberjulgeolekutööstust tahtmatult kohanema, uuendusi tegema ja täiustama.
Rahvaturbe tulevik
Analüütikafirma sõnul Tuleviku turu ülevaade, kasvab ülemaailmne ühisturbe turg ka järgmistel aastatel. Tegelikult on hinnangute kohaselt 2032. aastaks selle väärtus umbes 243 miljonit dollarit. See ei tulene ainult erasektori algatustest, vaid ka sellest, et valitsused kogu maailmas on omaks võtnud ühisturbe – mitmel USA valitsusasutusel on aktiivsed vead ja haavatavuse avalikustamise programmid, näiteks.
Need ennustused võivad kindlasti olla kasulikud, kui soovite hinnata, millises suunas küberjulgeolekutööstus liigub, kuid pole vaja majandusteadlast aru saada, miks ettevõtted võtavad turvalisuses kasutusele ühishanke lähenemisviisi. Ükskõik, millisest küljest te probleemi vaatate, näitavad numbrid. Lisaks, milline kahju võib olla sellest, kui rühm vastutustundlikke ja usaldusväärseid inimesi jälgib teie varade haavatavust 365 päeva aastas?
Lühidalt, kui midagi dramaatiliselt ei muutu selles, kuidas ohus osalejad tarkvara tungivad, näeme suure tõenäosusega vasakule ja paremale avanevaid rahvahulga turbeprogramme. See on hea uudis arendajatele, valge mütsi häkkeritele ja tarbijatele, kuid halb uudis küberkurjategijatele.
Ühishanke turvalisus küberkuritegevuse eest kaitsmiseks
Küberturvalisus on olnud olemas alates esimesest arvutist. See on aastate jooksul võtnud mitmeid vorme, kuid eesmärk on alati olnud sama: kaitsta volitamata juurdepääsu ja varguste eest. Ideaalses maailmas poleks küberturvalisust vaja. Kuid tegelikus maailmas muudab ennast kaitstes kõik olulised.
Kõik eelnev kehtib nii ettevõtete kui ka eraisikute kohta. Kuid kuigi tavainimene suudab võrgus suhteliselt turvaliselt püsida seni, kuni ta järgib põhilisi turvaprotokolle, nõuavad organisatsioonid võimalike ohtude suhtes kõikehõlmavat lähenemist. Selline lähenemine peaks eelkõige põhinema null-usalduskindlusel.