Inden et nyt softwareprodukt kommer på markedet, testes det for sårbarheder. Enhver ansvarlig virksomhed udfører disse tests for at beskytte både sine kunder og sig selv mod cybertrusler.
I de senere år har udviklere i stigende grad satset på crowdsourcing til at udføre sikkerhedsundersøgelser. Men hvad er crowdsourced sikkerhed egentlig? Hvordan fungerer det, og hvordan er det sammenlignet med andre almindelige risikovurderingsmetoder?
Sådan fungerer Crowdsourced-sikkerhed
Organisationer af alle størrelser har traditionelt brugt penetrationstest for at sikre deres systemer. Pen-test er i bund og grund et simuleret cyberangreb, der er beregnet til at afsløre sikkerhedsfejl, ligesom et rigtigt angreb ville. Men i modsætning til et rigtigt angreb, når de først er opdaget, bliver disse sårbarheder rettet op. Dette øger den overordnede sikkerhedsprofil for den pågældende organisation. Lyder enkelt.
Men der er nogle grelle problemer med penetrationstest. Det udføres typisk årligt, hvilket simpelthen ikke er nok, da al software opdateres løbende. For det andet, fordi cybersikkerhedsmarkedet er ret mættet, "finder" pentestvirksomheder nogle gange sårbarheder, hvor der virkelig ikke er nogen for at retfærdiggøre opkrævning af deres tjenester og skille sig ud fra deres konkurrence. Så er der også budgetmæssige bekymringer - disse tjenester kan være ret dyre.
Crowdsourced sikkerhed fungerer på en helt anden model. Det drejer sig om at invitere en gruppe enkeltpersoner til at teste software for sikkerhedsproblemer. Virksomheder, der bruger crowdsourced sikkerhedstest, opfordrer en gruppe mennesker eller offentligheden som sådan til at undersøge deres produkter. Dette kan gøres direkte eller gennem en tredjeparts crowdsourcing-platform.
Selvom alle kan deltage i disse programmer, er det primært etiske hackere (white hat hackere) eller forskere, som de kaldes i samfundet, der deltager i dem. Og de deltager, fordi der normalt er en anstændig økonomisk pris for at opdage en sikkerhedsfejl. Det er naturligvis op til hver enkelt virksomhed at bestemme beløbene, men der kan argumenteres for, at crowdsourcing er billigere og mere effektivt i det lange løb end traditionel penetrationstest.
Sammenlignet med pentest og andre former for risikovurdering har crowdsourcing mange forskellige fordele. Til at begynde med, uanset hvor godt et penetrationstesterfirma du hyrer, er det langt mere sandsynligt, at en stor gruppe mennesker, der leder efter sikkerhedssårbarheder, opdager dem. En anden åbenlys fordel ved crowdsourcing er, at ethvert sådant program kan være åbent, hvilket betyder, at det kan køre kontinuerligt, så sårbarheder kan opdages (og lappes) hele året rundt.
3 typer Crowdsourced sikkerhedsprogrammer
De fleste crowdsourcede sikkerhedsprogrammer er centreret omkring det samme grundlæggende koncept om økonomisk belønning af dem, der opdager en fejl eller sårbarhed, men de kan grupperes i tre hovedkategorier.
1. Bug Bounties
Stort set alle teknologigiganter – fra Facebook, over Apple til Google – har en aktiv bug bounty program. Hvordan de fungerer er ret simpelt: Opdag en fejl, og du vil modtage en belønning. Disse belønninger spænder fra et par hundrede dollars til et par millioner, så det er ikke underligt, at nogle etiske hackere tjener fuldtidsindtægter ved at opdage softwaresårbarheder.
2. Programmer til afsløring af sårbarheder
Programmer til afsløring af sårbarheder minder meget om bug-bounties, men der er en vigtig forskel: Disse programmer er offentlige. Med andre ord, når en etisk hacker opdager en sikkerhedsfejl i et softwareprodukt, offentliggøres denne fejl, så alle ved, hvad det er. Cybersikkerhedsfirmaer deltager ofte i disse: De opdager en sårbarhed, skriver en rapport om den og tilbyder anbefalinger til udvikleren og slutbrugeren.
3. Malware Crowdsourcing
Hvad hvis du downloader en fil, men ikke er sikker på, om den er sikker at køre? Hvordan gør du tjek om det er malware? Hvis det lykkedes dig at downloade det i første omgang, kunne din antiviruspakke ikke genkende det som ondsindet, så hvad du kan gøre er at gå over til VirusTotal eller en lignende online scanner og uploade den der. Disse værktøjer samler snesevis af antivirusprodukter for at kontrollere, om den pågældende fil er skadelig. Dette er også en form for crowdsourced sikkerhed.
Nogle hævder, at cyberkriminalitet er en form for crowdsourced sikkerhed, hvis ikke den ultimative form for det. Dette argument er bestemt berettiget, fordi ingen er mere tilskyndet til at finde en sårbarhed i et system end en trusselsaktør, der ønsker at udnytte den til økonomisk gevinst og berømmelse.
I sidste ende er det kriminelle, der utilsigtet tvinger cybersikkerhedsindustrien til at tilpasse sig, innovere og forbedre sig.
Fremtiden for Crowdsourced sikkerhed
Ifølge analysefirmaet Fremtidig markedsindsigt, vil det globale crowdsourcede sikkerhedsmarked fortsætte med at vokse i de kommende år. Faktisk siger estimater, at det vil være omkring $243 millioner værd i 2032. Dette skyldes ikke kun initiativer fra den private sektor, men også fordi regeringer over hele verden har taget til sig crowdsourced sikkerhed – flere amerikanske regeringsorganer har aktive programmer for bug bounty og sårbarhed, f. eksempel.
Disse forudsigelser kan helt sikkert være nyttige, hvis du vil måle i hvilken retning cybersikkerhedsindustrien bevæger sig, men det kræver ikke en økonom at finde ud af, hvorfor virksomhedsenheder anvender en crowdsourcing-tilgang til sikkerhed. Uanset hvordan du ser på problemet, tjekker tallene ud. Plus, hvad kan muligvis være skaden ved at have en gruppe ansvarlige og troværdige mennesker, der overvåger dine aktiver for sårbarheder 365 dage om året?
Kort sagt, medmindre noget drastisk ændrer sig i den måde, software penetreres af trusselsaktører, er vi mere end tilbøjelige til at se crowdsourcede sikkerhedsprogrammer dukke op til venstre og højre. Dette er gode nyheder for udviklere, white hat hackere og forbrugere, men dårlige nyheder for cyberkriminelle.
Crowdsourcing af sikkerhed for at beskytte mod cyberkriminalitet
Cybersikkerhed har eksisteret siden den første computer. Det har antaget mange former gennem årene, men målet har altid været det samme: at beskytte mod uautoriseret adgang og tyveri. I en ideel verden ville der ikke være behov for cybersikkerhed. Men i den virkelige verden gør det hele forskellen at beskytte dig selv.
Alt ovenstående gælder både for virksomheder og private. Men mens den gennemsnitlige person kan forblive relativt sikker online, så længe de følger grundlæggende sikkerhedsprotokoller, kræver organisationer en altomfattende tilgang til potentielle trusler. En sådan tilgang bør primært baseres på nul tillidssikkerhed.
