Что такое краудсорсинговая безопасность?

Прежде чем новый программный продукт выйдет на рынок, он тестируется на наличие уязвимостей. Каждая ответственная компания проводит эти тесты, чтобы защитить как своих клиентов, так и себя от киберугроз.

В последние годы разработчики все чаще полагаются на краудсорсинг для проведения тестирования безопасности. Но что такое краудсорсинговая безопасность? Как это работает и чем отличается от других популярных методов оценки рисков?

Как работает краудсорсинговая безопасность

Организации всех размеров традиционно используют тестирование на проникновение для защиты своих систем. Пентест – это, по сути, симулированная кибератака, которая выявляет недостатки безопасности, как и настоящая атака. Но в отличие от реальной атаки, после обнаружения эти уязвимости исправляются. Это усиливает общий профиль безопасности рассматриваемой организации. Звучит просто, правда?

Но есть некоторые проблемы с тестированием на проникновение. Обычно это делается только ежегодно, чего просто недостаточно, поскольку все программное обеспечение регулярно обновляется. Во-вторых, поскольку рынок кибербезопасности достаточно насыщен, компании, занимающиеся пентестированием, иногда «находят» несуществующие уязвимости, чтобы оправдать взимание платы за свои услуги и выделиться среди конкурентов. Есть и бюджетные проблемы: эти услуги могут быть довольно дорогими.

Crowdsourced Security работает по совершенно другой модели. Суть его заключается в приглашении группы людей протестировать программное обеспечение на предмет проблем безопасности. Компании, использующие Crowdsourced Security, приглашают группу людей или широкую общественность протестировать свои продукты. Это можно сделать напрямую или через стороннюю краудсорсинговую платформу.

Хотя принять участие в этих программах может любой желающий, основной целевой аудиторией будут хакеры и исследователи в белых шляпах. За обнаружение уязвимости системы безопасности часто предусмотрена значительная финансовая награда. Очевидно, что определение суммы зависит от конкретной компании, но краудсорсинг дешевле и эффективнее в долгосрочной перспективе, чем традиционное тестирование на проникновение.

По сравнению с пентестированием и другими формами оценки рисков, краудсорсинг имеет ряд преимуществ. Во-первых, какую бы хорошую компанию по тестированию на проникновение вы ни наняли, большая группа людей, всегда ищущих уязвимости безопасности, с большей вероятностью их обнаружит. Еще одним очевидным преимуществом краудсорсинга является то, что любая такая программа является открытой, то есть может работать непрерывно, поэтому уязвимости можно обнаруживать (и исправлять) круглый год.

3 типа программ краудсорсинговой безопасности

Большинство программ краудсорсинговой безопасности ориентированы на одну и ту же базовую концепцию финансового вознаграждения обнаруживших уязвимости, но их можно сгруппировать в три основные категории.

1. Получайте бонусы при обнаружении ошибок.

Почти каждый технологический гигант – от Facebook до Apple и Google – имеет активную программу вознаграждения за обнаружение ошибок. Принцип их работы довольно прост: найдите ошибку и получите награду. Эти вознаграждения варьируются от нескольких сотен до нескольких миллионов долларов, поэтому неудивительно, что некоторые хакеры в белой шляпе зарабатывают полный рабочий день на обнаружении уязвимостей программного обеспечения.

2. Программа раскрытия уязвимостей

Программы раскрытия уязвимостей очень похожи на вышеуказанную группу, но с одним ключевым отличием: эти программы являются общедоступными. Другими словами, когда хакер в белой шляпе обнаруживает недостаток безопасности в программном продукте, этот недостаток будет обнародован, чтобы все знали. Компании, занимающиеся кибербезопасностью, часто занимаются такой деятельностью: они обнаруживают уязвимости, пишут о них отчеты и дают рекомендации разработчикам и конечным пользователям.

3. Краудсорсинг вредоносного ПО

Что произойдет, если вы загрузите файл, но не уверены, безопасно ли его запускать? Как проверить, является ли это вредоносным ПО? Ваш антивирусный пакет может не распознать его как вредоносный, поэтому вы можете зайти в VirusTotal или аналогичный онлайн-сканер вирусов и загрузить файл туда. Эти инструменты синтезируют десятки антивирусных продуктов, чтобы проверить, является ли рассматриваемый файл вредоносным или нет. Это также форма краудсорсинговой безопасности.

Некоторые люди считают, что киберпреступность — это форма краудсорсинговой безопасности. Этот аргумент имеет смысл, поскольку никто не заинтересован в поиске уязвимостей в системе больше, чем злоумышленник, стремящийся использовать ее ради денег и славы. В конце концов, именно преступники непреднамеренно заставляют индустрию кибербезопасности адаптироваться, внедрять инновации и совершенствоваться.

Будущее краудсорсинговой безопасности

По данным аналитической компании Future Market Insights, мировой рынок безопасности в ближайшие годы продолжит расти. Фактически, по оценкам, к 2032 году его стоимость будет составлять около 243 миллионов долларов. Это не только благодаря инициативам частного сектора, но и потому, что правительства во всем мире приняли краудсорсинговые меры безопасности.

Эти прогнозы, безусловно, могут быть полезны, если вы хотите оценить, в каком направлении движется индустрия кибербезопасности, но не нужно быть экономистом, чтобы понять, почему корпоративные организации принимают этот подход. Как ни посмотри, цифры имеют значение. Кроме того, какой вред может быть от наличия команды ответственных и заслуживающих доверия людей, которые 365 дней в году следят за вашими активами на предмет уязвимостей?

Короче говоря, если что-то радикально не изменится в способах компрометации программного обеспечения злоумышленниками, мы с большей вероятностью увидим появление краудсорсинговых программ безопасности с обеих сторон. Это хорошая новость для разработчиков, хакеров и потребителей, но плохая новость для киберпреступников.