Ennen kuin uusi ohjelmistotuote tulee markkinoille, se testataan haavoittuvuuksien varalta. Jokainen vastuullinen yritys suorittaa nämä testit suojatakseen sekä asiakkaitaan että itseään kyberuhkilta.
Viime vuosina kehittäjät ovat yhä enemmän luottaneet joukkolähteeseen turvallisuustutkimuksissa. Mutta mitä on joukkolähdeturva? Miten se toimii ja miten se verrataan muihin yleisiin riskinarviointimenetelmiin?
Miten Crowdsourced Security toimii
Kaikenkokoiset organisaatiot ovat perinteisesti käyttäneet läpäisytestaus järjestelmiensä turvaamiseksi. Kynätestaus on pohjimmiltaan simuloitu kyberhyökkäys, jonka tarkoituksena on paljastaa tietoturvapuutteita, aivan kuten todellinen hyökkäys tekisi. Mutta toisin kuin todellisessa hyökkäyksessä, nämä haavoittuvuudet korjataan, kun ne löydetään. Tämä parantaa kyseisen organisaation yleistä turvallisuusprofiilia. Kuulostaa yksinkertaiselta.
Läpäisytestauksessa on kuitenkin joitain räikeitä ongelmia. Se suoritetaan tyypillisesti vuosittain, mikä ei yksinkertaisesti riitä, koska kaikki ohjelmistot päivitetään säännöllisesti. Toiseksi, koska kyberturvallisuusmarkkinat ovat melko kyllästyneet, kynätestausyritykset joskus "löytävät" haavoittuvuuksia, joissa niitä ei todellakaan ole, jotta palveluista veloittaminen olisi perusteltua ja erottuisi joukosta heidän kilpailuaan. Sitten on myös budjettiongelmia – nämä palvelut voivat olla melko kalliita.
Crowdsourced-tietoturva toimii täysin eri mallilla. Se pyörii ryhmän kutsumisessa testaamaan ohjelmistoja tietoturvaongelmien varalta. Joukkolähdettyä tietoturvatestausta käyttävät yritykset kutsuvat ryhmää ihmisiä tai yleisöä sellaisenaan tutkimaan tuotteitaan. Tämä voidaan tehdä suoraan tai kolmannen osapuolen joukkolähdealustan kautta.
Vaikka kuka tahansa voi liittyä näihin ohjelmiin, se on ensisijaisesti eettiset hakkerit (valkohattuhakkerit) tai tutkijat, kuten heitä kutsutaan yhteisössä, jotka osallistuvat niihin. Ja he osallistuvat, koska turvavirheen löytämisestä saa yleensä kunnollisen taloudellisen palkinnon. On selvää, että jokainen yritys päättää summat, mutta voidaan väittää, että joukkoistaminen on halvempaa ja tehokkaampaa pitkällä aikavälillä kuin perinteinen läpäisytestaus.
Verrattuna kynätestaukseen ja muihin riskinarviointimuotoihin, joukkolähteellä on monia erilaisia etuja. Ensinnäkin, riippumatta siitä, kuinka hyvän penetraatiotestausyrityksen palkkaat, suuri joukko ihmisiä, jotka jatkuvasti etsivät tietoturva-aukkoja, löytää ne paljon todennäköisemmin. Toinen joukkohankinnan ilmeinen etu on, että mikä tahansa tällainen ohjelma voi olla avoin, mikä tarkoittaa, että se voi toimia jatkuvasti, joten haavoittuvuuksia voidaan löytää (ja korjata) ympäri vuoden.
3 Crowdsourced-suojausohjelmien tyypit
Useimmat joukkorahoitteiset tietoturvaohjelmat keskittyvät samaan peruskonseptiin, jossa palkitsee taloudellisesti niitä, jotka löytävät puutteen tai haavoittuvuuden, mutta ne voidaan ryhmitellä kolmeen pääluokkaan.
1. Bug Bounties
Lähes jokaisella teknologiajättiläisellä – Facebookista, Applesta Googleen – on aktiivinen bug bounty -ohjelma. Niiden toiminta on melko yksinkertaista: löydä virhe, niin saat palkinnon. Nämä palkkiot vaihtelevat muutamasta sadasta dollarista muutamaan miljoonaan, joten ei ole ihme, että jotkut eettiset hakkerit ansaitsevat kokopäiväisiä tuloja havaitessaan ohjelmiston haavoittuvuuksia.
2. Haavoittuvuuden paljastamisohjelmat
Haavoittuvuuden paljastamisohjelmat ovat hyvin samanlaisia kuin bugipalkkiot, mutta niissä on yksi keskeinen ero: nämä ohjelmat ovat julkisia. Toisin sanoen, kun eettinen hakkeri löytää tietoturvavirheen ohjelmistotuotteessa, tämä puute julkistetaan, jotta kaikki tietävät, mikä se on. Kyberturvayritykset osallistuvat usein näihin: ne havaitsevat haavoittuvuuden, kirjoittavat siitä raportin ja tarjoavat suosituksia kehittäjälle ja loppukäyttäjälle.
3. Haittaohjelmien joukkolähde
Entä jos lataat tiedoston, mutta et ole varma, onko se turvallista suorittaa? Miten sinä tarkista onko se haittaohjelma? Jos onnistuit lataamaan sen alun perin, virustorjuntaohjelmistosi ei tunnistanut sitä haitallinen, joten voit siirtyä VirusTotaliin tai vastaavaan online-skanneriin ja ladata sen siellä. Nämä työkalut yhdistävät kymmeniä virustorjuntatuotteita tarkistaakseen, onko kyseinen tiedosto haitallinen. Tämäkin on eräänlainen joukkolähdeturvan muoto.
Jotkut väittävät, että tietoverkkorikollisuus on joukkolähdetyn turvallisuuden muoto, ellei sen perimmäinen muoto. Tällä väitteellä on varmasti ansio, koska kukaan ei ole niin kannustanut löytämään haavoittuvuutta järjestelmästä kuin uhkatoimija, joka haluaa hyödyntää sitä rahallisen hyödyn ja mainetta saavuttamiseksi.
Loppujen lopuksi rikolliset pakottavat vahingossa kyberturvallisuusalan sopeutumaan, innovoimaan ja parantamaan.
Crowdsourced Securityn tulevaisuus
Analytiikkayrityksen mukaan Tulevaisuuden markkinanäkymät, globaalit joukkolähteiset tietoturvamarkkinat jatkavat kasvuaan tulevina vuosina. Itse asiassa arvioiden mukaan sen arvo on noin 243 miljoonaa dollaria vuoteen 2032 mennessä. Tämä ei johdu vain yksityisen sektorin aloitteista, vaan myös siitä, että hallitukset ympäri maailmaa ovat hyväksyneet joukkolähdetetty tietoturva – useilla Yhdysvaltain valtion virastoilla on aktiivisia bugipalkkio- ja haavoittuvuuksien paljastamisohjelmia esimerkki.
Nämä ennusteet voivat varmasti olla hyödyllisiä, jos haluat mitata, mihin suuntaan kyberturvallisuusala on menossa, mutta se ei vaadi ekonomistia selvittääkseen, miksi yrityskokonaisuudet omaksuvat joukkolähteen turvallisuuteen. Katsotpa asiaa miltä kantilta tahansa, luvut tarkastelevat sitä. Lisäksi mitä haittaa siitä voi olla, jos ryhmä vastuullisia ja luotettavia ihmisiä tarkkailee omaisuuttasi haavoittuvuuksien varalta 365 päivää vuodessa?
Lyhyesti sanottuna, ellei jokin dramaattisesti muutu tavassa, jolla uhkatekijät tunkeutuvat ohjelmistoihin, näemme enemmän kuin todennäköisemmin joukkolähdettyjä tietoturvaohjelmia ponnahtavan vasemmalle ja oikealle. Tämä on hyvä uutinen kehittäjille, valkohattuhakkereille ja kuluttajille, mutta huono uutinen kyberrikollisille.
Crowdsourcing-tietoturva suojataksesi tietoverkkorikollisuutta vastaan
Kyberturvallisuus on ollut olemassa ensimmäisestä tietokoneesta lähtien. Se on saanut monia muotoja vuosien varrella, mutta tavoite on aina ollut sama: suojautua luvattomalta käytöltä ja varkauksilta. Ihanteellisessa maailmassa kyberturvallisuutta ei tarvita. Mutta todellisessa maailmassa itsesi suojeleminen ratkaisee kaiken.
Kaikki yllä oleva koskee sekä yrityksiä että yksityishenkilöitä. Mutta vaikka keskivertoihminen voi pysyä suhteellisen turvassa verkossa niin kauan kuin hän noudattaa perusturvaprotokollia, organisaatiot tarvitsevat kaiken kattavan lähestymistavan mahdollisiin uhkiin. Tällaisen lähestymistavan tulisi ensisijaisesti perustua nollaluottamusturvaan.