Πριν κυκλοφορήσει ένα νέο προϊόν λογισμικού στην αγορά, ελέγχεται για τρωτά σημεία. Κάθε υπεύθυνη εταιρεία πραγματοποιεί αυτές τις δοκιμές, προκειμένου να προστατεύσει τόσο τους πελάτες της όσο και τον εαυτό της από απειλές στον κυβερνοχώρο.
Τα τελευταία χρόνια, οι προγραμματιστές βασίζονται όλο και περισσότερο στο crowdsourcing για τη διεξαγωγή ερευνών ασφαλείας. Τι είναι όμως ακριβώς η crowdsourced ασφάλεια; Πώς λειτουργεί και πώς συγκρίνεται με άλλες κοινές μεθόδους εκτίμησης κινδύνου;
Πώς λειτουργεί η Crowdsourced Security
Οργανισμοί όλων των μεγεθών χρησιμοποιούν παραδοσιακά δοκιμές διείσδυσης για την ασφάλεια των συστημάτων τους. Η δοκιμή πένας είναι ουσιαστικά μια προσομοίωση κυβερνοεπίθεσης που έχει σκοπό να αποκαλύψει ελαττώματα ασφαλείας, όπως ακριβώς θα έκανε μια πραγματική επίθεση. Αλλά σε αντίθεση με μια πραγματική επίθεση, αφού ανακαλυφθεί, αυτά τα τρωτά σημεία διορθώνονται. Αυτό ενισχύει το συνολικό προφίλ ασφάλειας του εν λόγω οργανισμού. Ακούγεται απλό.
Αλλά υπάρχουν ορισμένα κραυγαλέα ζητήματα με τη δοκιμή διείσδυσης. Συνήθως εκτελείται ετησίως, κάτι που απλά δεν είναι αρκετό, δεδομένου ότι όλο το λογισμικό ενημερώνεται τακτικά. Δεύτερον, επειδή η αγορά της κυβερνοασφάλειας είναι μάλλον κορεσμένη, οι εταιρείες δοκιμών στυλό μερικές φορές «βρίσκουν» ευπάθειες όπου πραγματικά δεν υπάρχουν για να δικαιολογήσουν τη χρέωση για τις υπηρεσίες τους και να ξεχωρίσουν τον ανταγωνισμό τους. Έπειτα, υπάρχουν και δημοσιονομικές ανησυχίες — αυτές οι υπηρεσίες μπορεί να είναι αρκετά δαπανηρές.
Η ασφάλεια Crowdsourced λειτουργεί σε ένα εντελώς διαφορετικό μοντέλο. Περιστρέφεται γύρω από την πρόσκληση μιας ομάδας ατόμων να δοκιμάσουν το λογισμικό για ζητήματα ασφάλειας. Οι εταιρείες που χρησιμοποιούν δοκιμές ασφαλείας με πληθώρα προμηθειών προσκαλούν μια ομάδα ατόμων ή το κοινό ως τέτοιο, να εξετάσουν τα προϊόντα τους. Αυτό μπορεί να γίνει απευθείας ή μέσω μιας πλατφόρμας crowdsourcing τρίτου μέρους.
Αν και οποιοσδήποτε μπορεί να συμμετάσχει σε αυτά τα προγράμματα, είναι πρωτίστως ηθικοί χάκερ (χάκερ λευκού καπέλου) ή ερευνητές, όπως αποκαλούνται στην κοινότητα, που συμμετέχουν σε αυτά. Και συμμετέχουν επειδή συνήθως υπάρχει ένα αξιοπρεπές οικονομικό βραβείο για την ανακάλυψη ενός ελαττώματος ασφαλείας. Προφανώς, εναπόκειται σε κάθε εταιρεία να καθορίσει τα ποσά, αλλά μπορεί να υποστηριχθεί ότι το crowdsourcing είναι φθηνότερο και πιο αποτελεσματικό μακροπρόθεσμα από τις παραδοσιακές δοκιμές διείσδυσης.
Σε σύγκριση με τις δοκιμές με στυλό και άλλες μορφές αξιολόγησης κινδύνου, το crowdsourcing έχει πολλά διαφορετικά πλεονεκτήματα. Για αρχή, ανεξάρτητα από το πόσο καλή εταιρεία δοκιμών διείσδυσης προσλαμβάνετε, μια μεγάλη ομάδα ανθρώπων που αναζητούν συνεχώς ευπάθειες ασφαλείας είναι πολύ πιο πιθανό να τα ανακαλύψουν. Ένα άλλο προφανές πλεονέκτημα του crowdsourcing είναι ότι οποιοδήποτε τέτοιο πρόγραμμα μπορεί να είναι ανοιχτού τύπου, πράγμα που σημαίνει ότι μπορεί να εκτελείται συνεχώς, επομένως τα τρωτά σημεία μπορούν να ανακαλυφθούν (και να διορθωθούν) όλο το χρόνο.
3 Τύποι προγραμμάτων ασφαλείας Crowdsourced
Τα περισσότερα προγράμματα ασφαλείας που βασίζονται σε πληθώρα επικεντρώνονται στην ίδια βασική ιδέα της οικονομικής ανταμοιβής όσων ανακαλύπτουν ένα ελάττωμα ή μια ευπάθεια, αλλά μπορούν να ομαδοποιηθούν σε τρεις κύριες κατηγορίες.
1. Bug Bounties
Σχεδόν κάθε τεχνολογικός γίγαντας —από το Facebook, την Apple, μέχρι την Google— έχει έναν ενεργό πρόγραμμα επιβράβευσης σφαλμάτων. Ο τρόπος λειτουργίας τους είναι πολύ απλός: ανακαλύψτε ένα σφάλμα και θα λάβετε μια ανταμοιβή. Αυτές οι ανταμοιβές κυμαίνονται από μερικές εκατοντάδες δολάρια έως μερικά εκατομμύρια, επομένως δεν είναι περίεργο που ορισμένοι ηθικοί χάκερ κερδίζουν εισοδήματα πλήρους απασχόλησης ανακαλύπτοντας τρωτά σημεία λογισμικού.
2. Προγράμματα αποκάλυψης ευπάθειας
Τα προγράμματα αποκάλυψης ευπάθειας είναι πολύ παρόμοια με τα bug bounties, αλλά υπάρχει μια βασική διαφορά: αυτά τα προγράμματα είναι δημόσια. Με άλλα λόγια, όταν ένας ηθικός χάκερ ανακαλύπτει ένα ελάττωμα ασφαλείας σε ένα προϊόν λογισμικού, αυτό το ελάττωμα δημοσιοποιείται ώστε όλοι να γνωρίζουν τι είναι. Οι εταιρείες κυβερνοασφάλειας συχνά συμμετέχουν σε αυτά: εντοπίζουν μια ευπάθεια, γράφουν μια αναφορά σχετικά με αυτό και προσφέρουν συστάσεις για τον προγραμματιστή και τον τελικό χρήστη.
3. Κακόβουλο λογισμικό Crowdsourcing
Τι γίνεται αν κάνετε λήψη ενός αρχείου, αλλά δεν είστε σίγουροι αν είναι ασφαλές να εκτελεστεί; Πως εσύ ελέγξτε αν είναι κακόβουλο λογισμικό? Εάν καταφέρατε να το κατεβάσετε από την αρχή, η σουίτα προστασίας από ιούς απέτυχε να το αναγνωρίσει ως κακόβουλο, οπότε αυτό που μπορείτε να κάνετε είναι να μεταβείτε στο VirusTotal ή σε έναν παρόμοιο διαδικτυακό σαρωτή και να το ανεβάσετε εκεί. Αυτά τα εργαλεία συγκεντρώνουν δεκάδες προϊόντα προστασίας από ιούς για να ελέγξουν εάν το εν λόγω αρχείο είναι επιβλαβές. Αυτή, επίσης, είναι μια μορφή crowdsourced ασφαλείας.
Ορισμένοι υποστηρίζουν ότι το έγκλημα στον κυβερνοχώρο είναι μια μορφή crowdsourced Security, αν όχι η απόλυτη μορφή της. Αυτό το επιχείρημα σίγουρα έχει αξία, γιατί κανείς δεν έχει περισσότερα κίνητρα να βρει μια ευπάθεια σε ένα σύστημα από έναν παράγοντα απειλής που θέλει να το εκμεταλλευτεί για νομισματικό κέρδος και φήμη.
Στο τέλος της ημέρας, οι εγκληματίες είναι αυτοί που αναγκάζουν ακούσια τη βιομηχανία της κυβερνοασφάλειας να προσαρμοστεί, να καινοτομήσει και να βελτιωθεί.
Το μέλλον της Crowdsourced Security
Σύμφωνα με την εταιρεία ανάλυσης Μελλοντικές πληροφορίες αγοράς, η παγκόσμια αγορά ασφάλειας crowdsourced θα συνεχίσει να αναπτύσσεται τα επόμενα χρόνια. Στην πραγματικότητα, οι εκτιμήσεις λένε ότι θα αξίζει περίπου 243 εκατομμύρια δολάρια μέχρι το 2032. Αυτό δεν οφείλεται μόνο σε πρωτοβουλίες του ιδιωτικού τομέα, αλλά και επειδή οι κυβερνήσεις σε όλο τον κόσμο το έχουν αγκαλιάσει Crowdsourced security—πολλοί κυβερνητικοί φορείς των ΗΠΑ διαθέτουν ενεργά προγράμματα αποκάλυψης σφαλμάτων και ευπάθειας, για παράδειγμα.
Αυτές οι προβλέψεις μπορούν σίγουρα να είναι χρήσιμες εάν θέλετε να μετρήσετε προς ποια κατεύθυνση κινείται ο κλάδος της κυβερνοασφάλειας, αλλά δεν χρειάζεται ένας οικονομολόγος για να καταλάβει γιατί οι εταιρικές οντότητες υιοθετούν μια προσέγγιση crowdsourcing για την ασφάλεια. Από όποια πλευρά κι αν κοιτάξετε το θέμα, ελέγξτε τους αριθμούς. Επιπλέον, ποιο θα μπορούσε να είναι το κακό αν μια ομάδα υπεύθυνων και αξιόπιστων ανθρώπων παρακολουθεί τα περιουσιακά σας στοιχεία για τρωτά σημεία 365 ημέρες το χρόνο;
Εν ολίγοις, εκτός και αν αλλάξει κάτι δραματικά στον τρόπο με τον οποίο το λογισμικό διεισδύεται από τους παράγοντες απειλών, είναι πολύ πιθανό να δούμε προγράμματα ασφαλείας crowdsourced να εμφανίζονται αριστερά και δεξιά. Αυτά είναι καλά νέα για προγραμματιστές, χάκερ λευκού καπέλου και καταναλωτές, αλλά κακά νέα για εγκληματίες του κυβερνοχώρου.
Crowdsourcing Security για προστασία από το κυβερνοέγκλημα
Η κυβερνοασφάλεια υπάρχει από τον πρώτο υπολογιστή. Έχει πάρει πολλές μορφές με τα χρόνια, αλλά ο στόχος ήταν πάντα ο ίδιος: η προστασία από μη εξουσιοδοτημένη πρόσβαση και κλοπή. Σε έναν ιδανικό κόσμο, δεν θα υπήρχε ανάγκη για κυβερνοασφάλεια. Αλλά στον πραγματικό κόσμο, η προστασία του εαυτού σας κάνει τη διαφορά.
Όλα τα παραπάνω ισχύουν τόσο για επιχειρήσεις όσο και για ιδιώτες. Όμως, ενώ ο μέσος άνθρωπος μπορεί να παραμείνει σχετικά ασφαλής στο διαδίκτυο εφόσον ακολουθεί βασικά πρωτόκολλα ασφαλείας, οι οργανισμοί απαιτούν μια ολοκληρωμένη προσέγγιση για πιθανές απειλές. Μια τέτοια προσέγγιση θα πρέπει πρωτίστως να βασίζεται στην ασφάλεια μηδενικής εμπιστοσύνης.