Prima che un nuovo prodotto software raggiunga il mercato, viene testato per le vulnerabilità. Ogni azienda responsabile esegue questi test, al fine di proteggere sia i propri clienti che se stessa dalle minacce informatiche.
Negli ultimi anni, gli sviluppatori si sono sempre più affidati al crowdsourcing per condurre indagini sulla sicurezza. Ma cos'è esattamente la sicurezza in crowdsourcing? Come funziona e come si confronta con altri comuni metodi di valutazione del rischio?
Come funziona la sicurezza in crowdsourcing
Le organizzazioni di tutte le dimensioni hanno tradizionalmente utilizzato test di penetrazione per proteggere i propri sistemi. Il test della penna è essenzialmente un attacco informatico simulato che ha lo scopo di esporre falle di sicurezza, proprio come farebbe un vero attacco. Ma a differenza di un vero attacco, una volta scoperte, queste vulnerabilità vengono riparate. Ciò aumenta il profilo di sicurezza generale dell'organizzazione in questione. Sembra semplice.
Ma ci sono alcuni problemi evidenti con i test di penetrazione. In genere viene eseguito ogni anno, il che semplicemente non è sufficiente, dato che tutto il software viene aggiornato regolarmente. In secondo luogo, poiché il mercato della sicurezza informatica è piuttosto saturo, le aziende di pen testing a volte "trovano" vulnerabilità dove in realtà non ce ne sono per giustificare l'addebito dei loro servizi e distinguersi la loro concorrenza. Poi ci sono anche problemi di budget: questi servizi possono essere piuttosto costosi.
La sicurezza in crowdsourcing funziona su un modello completamente diverso. Si tratta di invitare un gruppo di persone a testare il software per problemi di sicurezza. Le aziende che utilizzano i test di sicurezza in crowdsourcing invitano un gruppo di persone, o il pubblico in quanto tale, a testare i loro prodotti. Questo può essere fatto direttamente o tramite una piattaforma di crowdsourcing di terze parti.
Sebbene chiunque possa partecipare a questi programmi, lo è principalmente hacker etici (hacker dal cappello bianco) o ricercatori, come vengono chiamati all'interno della comunità, che vi partecipano. E partecipano perché di solito c'è un premio finanziario decente per scoprire un difetto di sicurezza. Ovviamente, spetta a ciascuna azienda determinare le somme, ma si può sostenere che il crowdsourcing è più economico e più efficace nel lungo periodo rispetto ai tradizionali penetration test.
Rispetto al pen test e ad altre forme di valutazione del rischio, il crowdsourcing presenta molti vantaggi diversi. Per cominciare, non importa quanto sia bravo un'azienda di penetration tester che assumi, è molto più probabile che un folto gruppo di persone alla costante ricerca di vulnerabilità della sicurezza le scopra. Un altro ovvio vantaggio del crowdsourcing è che qualsiasi programma di questo tipo può essere a tempo indeterminato, il che significa che può essere eseguito continuamente, quindi le vulnerabilità possono essere scoperte (e riparate) tutto l'anno.
3 tipi di programmi di sicurezza in crowdsourcing
La maggior parte dei programmi di sicurezza in crowdsourcing sono incentrati sullo stesso concetto di base di premiare finanziariamente coloro che scoprono un difetto o una vulnerabilità, ma possono essere raggruppati in tre categorie principali.
1. Ricompense Bug
Praticamente ogni gigante della tecnologia, da Facebook, Apple a Google, ha un account attivo programma di ricompensa bug. Il loro funzionamento è piuttosto semplice: scopri un bug e riceverai una ricompensa. Queste ricompense vanno da un paio di centinaia di dollari a qualche milione, quindi non c'è da meravigliarsi che alcuni hacker etici guadagnino entrate a tempo pieno scoprendo le vulnerabilità del software.
2. Programmi di divulgazione delle vulnerabilità
I programmi di divulgazione delle vulnerabilità sono molto simili ai bug bounty, ma c'è una differenza fondamentale: questi programmi sono pubblici. In altre parole, quando un hacker etico scopre una falla di sicurezza in un prodotto software, quella falla viene pubblicizzata in modo che tutti sappiano di cosa si tratta. Le aziende di sicurezza informatica spesso partecipano a questi: individuano una vulnerabilità, scrivono un rapporto su di essa e offrono consigli per lo sviluppatore e l'utente finale.
3. Crowdsourcing di malware
Cosa succede se scarichi un file, ma non sei sicuro che sia sicuro da eseguire? Come controlla se si tratta di malware? Se sei riuscito a scaricarlo in primo luogo, la tua suite antivirus non è riuscita a riconoscerlo come dannoso, quindi quello che puoi fare è andare su VirusTotal o uno scanner online simile e caricarlo Là. Questi strumenti aggregano dozzine di prodotti antivirus per verificare se il file in questione è dannoso. Anche questa è una forma di sicurezza basata sul crowdsourcing.
Alcuni sostengono che il crimine informatico sia una forma di sicurezza basata sul crowdsourcing, se non la sua forma definitiva. Questo argomento ha certamente valore, perché nessuno è più incentivato a trovare una vulnerabilità in un sistema di un attore di minacce che cerca di sfruttarlo per guadagno monetario e notorietà.
Alla fine della giornata, i criminali sono quelli che inavvertitamente costringono il settore della sicurezza informatica ad adattarsi, innovare e migliorare.
Il futuro della sicurezza in crowdsourcing
Secondo la società di analisi Approfondimenti sul mercato futuro, il mercato globale della sicurezza in crowdsourcing continuerà a crescere negli anni a venire. In effetti, le stime dicono che varrà circa $ 243 milioni entro il 2032. Ciò non è dovuto solo alle iniziative del settore privato, ma anche perché i governi di tutto il mondo hanno abbracciato sicurezza in crowdsourcing: diverse agenzie governative degli Stati Uniti hanno programmi attivi di bug bounty e divulgazione delle vulnerabilità, per esempio.
Queste previsioni possono certamente essere utili se si desidera valutare in quale direzione si sta muovendo l'industria della sicurezza informatica, ma non ci vuole un economista per capire perché le entità aziendali stanno adottando un approccio di crowdsourcing alla sicurezza. In qualunque modo si guardi al problema, i numeri vengono verificati. Inoltre, quale potrebbe essere il danno nell'avere un gruppo di persone responsabili e affidabili che controllano le tue risorse per le vulnerabilità 365 giorni all'anno?
In breve, a meno che qualcosa non cambi radicalmente nel modo in cui il software viene penetrato dagli attori delle minacce, è più che probabile che vedremo programmi di sicurezza di crowdsourcing spuntare a destra ea manca. Questa è una buona notizia per sviluppatori, hacker white hat e consumatori, ma una cattiva notizia per i criminali informatici.
Sicurezza in crowdsourcing per proteggersi dal crimine informatico
La sicurezza informatica esiste dal primo computer. Negli anni ha assunto molte forme, ma l'obiettivo è sempre stato lo stesso: proteggere da accessi non autorizzati e furti. In un mondo ideale, non ci sarebbe bisogno di sicurezza informatica. Ma nel mondo reale, proteggersi fa la differenza.
Tutto quanto sopra vale sia per le imprese che per i privati. Ma mentre la persona media può rimanere relativamente al sicuro online fintanto che segue i protocolli di sicurezza di base, le organizzazioni richiedono un approccio onnicomprensivo alle potenziali minacce. Tale approccio dovrebbe basarsi principalmente sulla sicurezza zero trust.
