Innan en ny mjukvaruprodukt kommer ut på marknaden testas den för sårbarheter. Varje ansvarsfullt företag utför dessa tester för att skydda både sina kunder och sig själv från cyberhot.
Under de senaste åren har utvecklare i allt högre grad förlitat sig på crowdsourcing för att genomföra säkerhetsutredningar. Men vad exakt är crowdsourced säkerhet? Hur fungerar det och hur är det jämfört med andra vanliga riskbedömningsmetoder?
Hur Crowdsourced Security fungerar
Organisationer av alla storlekar har traditionellt använt sig av penetrationstestning för att säkra sina system. Penntestning är i huvudsak en simulerad cyberattack som är tänkt att avslöja säkerhetsbrister, precis som en riktig attack skulle göra. Men till skillnad från en riktig attack, när de väl upptäckts, är dessa sårbarheter åtgärdade. Detta ökar den övergripande säkerhetsprofilen för organisationen i fråga. Låter enkelt.
Men det finns några uppenbara problem med penetrationstestning. Det utförs vanligtvis årligen, vilket helt enkelt inte räcker med tanke på att all mjukvara uppdateras regelbundet. För det andra, eftersom cybersäkerhetsmarknaden är ganska mättad, "hittar" företag som testar pennor ibland sårbarheter där det verkligen inte finns några för att motivera att ta betalt för sina tjänster och sticka ut från deras konkurrens. Sedan finns det också budgetproblem — dessa tjänster kan vara ganska dyra.
Crowdsourced säkerhet fungerar på en helt annan modell. Det kretsar kring att bjuda in en grupp individer att testa programvara för säkerhetsproblem. Företag som använder crowdsourced säkerhetstester ger en inbjudan till en grupp människor, eller allmänheten som sådan, att undersöka sina produkter. Detta kan göras direkt eller via en tredjeparts crowdsourcing-plattform.
Även om vem som helst kan gå med i dessa program är det i första hand det etiska hackare (white hat hackers) eller forskare, som de kallas inom samhället, som deltar i dem. Och de deltar eftersom det vanligtvis finns en anständig ekonomisk utmärkelse för att upptäcka ett säkerhetsbrist. Självklart är det upp till varje företag att bestämma summorna, men man kan hävda att crowdsourcing är billigare och mer effektivt i längden än traditionella penetrationstest.
Jämfört med penntester och andra former av riskbedömning har crowdsourcing många olika fördelar. Till att börja med, oavsett hur bra ett penetrationstestarföretag du anlitar, är det mycket mer sannolikt att en stor grupp människor som konsekvent letar efter säkerhetsbrister kommer att upptäcka dem. En annan uppenbar fördel med crowdsourcing är att vilket program som helst kan vara öppet, vilket innebär att det kan köras kontinuerligt, så att sårbarheter kan upptäckas (och korrigeras) året runt.
3 typer av Crowdsourced säkerhetsprogram
De flesta crowdsourcede säkerhetsprogram är centrerade kring samma grundläggande koncept för att ekonomiskt belöna dem som upptäcker ett fel eller en sårbarhet, men de kan grupperas i tre huvudkategorier.
1. Bug Bounties
Praktiskt taget varje teknikjätte – från Facebook, över Apple till Google – har en aktiv bug bounty program. Hur de fungerar är ganska enkelt: upptäck en bugg så får du en belöning. Dessa belöningar sträcker sig från ett par hundra dollar till några miljoner, så det är inte konstigt att vissa etiska hackare tjänar heltidsinkomster genom att upptäcka sårbarheter i programvara.
2. Sårbarhetsprogram
Program för avslöjande av sårbarheter påminner mycket om buggar, men det finns en viktig skillnad: dessa program är offentliga. Med andra ord, när en etisk hackare upptäcker ett säkerhetsbrist i en mjukvaruprodukt, publiceras det felet så att alla vet vad det är. Cybersäkerhetsföretag deltar ofta i dessa: de upptäcker en sårbarhet, skriver en rapport om den och ger rekommendationer till utvecklaren och slutanvändaren.
3. Skadlig programvara Crowdsourcing
Vad händer om du laddar ner en fil men är osäker på om den är säker att köra? Hur gör du kontrollera om det är skadlig programvara? Om du lyckades ladda ner den i första hand, kunde din antivirussvit inte känna igen den som skadlig, så vad du kan göra är att gå över till VirusTotal eller en liknande onlineskanner och ladda upp den där. Dessa verktyg samlar dussintals antivirusprodukter för att kontrollera om filen i fråga är skadlig. Även detta är en form av crowdsourced säkerhet.
Vissa hävdar att cyberbrottslighet är en form av crowdsourced säkerhet, om inte den ultimata formen av det. Detta argument har verkligen förtjänst, eftersom ingen är mer motiverad att hitta en sårbarhet i ett system än en hotaktör som vill utnyttja den för ekonomisk vinning och ryktbarhet.
I slutändan är det kriminella som oavsiktligt tvingar cybersäkerhetsindustrin att anpassa sig, förnya och förbättra.
Framtiden för Crowdsourced Security
Enligt analysföretaget Framtida marknadsinsikter, kommer den globala säkerhetsmarknaden för crowdsourcing att fortsätta växa under de kommande åren. Faktum är att uppskattningar säger att det kommer att vara värt cirka 243 miljoner dollar år 2032. Detta beror inte bara på initiativ från den privata sektorn, utan också på att regeringar runt om i världen har anammat crowdsourcad säkerhet – flera amerikanska statliga myndigheter har aktiva program för avslöjande av buggar och sårbarheter, för exempel.
Dessa förutsägelser kan säkert vara användbara om du vill bedöma i vilken riktning cybersäkerhetsindustrin rör sig, men det krävs ingen ekonom för att ta reda på varför företagsenheter antar en crowdsourcing-strategi för säkerhet. Oavsett hur du ser på problemet, siffrorna checkar ut. Plus, vad kan eventuellt vara skadan av att ha en grupp ansvarsfulla och pålitliga personer övervaka dina tillgångar för sårbarheter 365 dagar om året?
Kort sagt, om inte något dramatiskt förändras i hur mjukvara penetreras av hotaktörer, är det mer än troligt att vi kommer att se crowdsourcade säkerhetsprogram dyka upp till vänster och höger. Det här är goda nyheter för utvecklare, hackare med vita hattar och konsumenter, men dåliga nyheter för cyberbrottslingar.
Crowdsourcing säkerhet för att skydda mot cyberbrottslighet
Cybersäkerhet har funnits sedan den första datorn. Det har antagit många former genom åren, men målet har alltid varit detsamma: att skydda mot obehörig åtkomst och stöld. I en idealisk värld skulle det inte finnas något behov av cybersäkerhet. Men i den verkliga världen gör det hela skillnaden att skydda sig själv.
Allt ovanstående gäller både företag och privatpersoner. Men medan den genomsnittliga personen kan vara relativt säker online så länge de följer grundläggande säkerhetsprotokoll, kräver organisationer ett allomfattande förhållningssätt till potentiella hot. Ett sådant tillvägagångssätt bör i första hand grundas på noll förtroendesäkerhet.