امنیت Crowdsourced چیست؟ » خبر و ترفند روز

هنگامی که نرم افزار جدید وارد بازار می شود، از نظر آسیب پذیری آزمایش می شود. یک راه از طریق جمع سپاری است. اما آیا این قابل اعتماد است؟ آیا واقعاً بی خطر است؟

قبل از اینکه یک محصول نرم افزاری جدید وارد بازار شود، از نظر آسیب پذیری آزمایش می شود. هر شرکت مسئول این آزمایش ها را انجام می دهد تا هم از مشتریان خود و هم از خود در برابر تهدیدات سایبری محافظت کند.

در سال‌های اخیر، توسعه‌دهندگان به‌طور فزاینده‌ای به جمع‌سپاری برای انجام تحقیقات امنیتی متکی بوده‌اند. اما امنیت جمع‌سپاری دقیقاً چیست؟ چگونه کار می کند و چگونه با سایر روش های رایج ارزیابی ریسک مقایسه می شود؟

امنیت Crowdsourced چگونه کار می کند

سازمان ها در هر اندازه ای به طور سنتی از تست نفوذ برای ایمن سازی سیستم های خود استفاده می کنند. تست قلم اساساً یک حمله سایبری شبیه سازی شده است که به منظور افشای نقص های امنیتی است، درست مانند یک حمله واقعی. اما بر خلاف یک حمله واقعی، پس از کشف، این آسیب‌پذیری‌ها اصلاح می‌شوند. این مشخصات کلی امنیتی سازمان مورد نظر را تقویت می کند. ساده به نظر می رسد.

اما برخی از مشکلات آشکار در مورد تست نفوذ وجود دارد. معمولاً سالانه انجام می شود، که با توجه به اینکه همه نرم افزارها به طور منظم به روز می شوند، به سادگی کافی نیست. ثانیاً، از آنجایی که بازار امنیت سایبری نسبتاً اشباع شده است، شرکت‌های تست قلم گاهی اوقات آسیب‌پذیری‌هایی را در جایی که واقعاً وجود ندارد پیدا می‌کنند تا بتوانند هزینه خدمات خود را توجیه کنند و از رقبای خود متمایز شوند. سپس نگرانی های بودجه ای نیز وجود دارد – این خدمات می توانند بسیار پرهزینه باشند.

امنیت Crowdsourced بر روی یک مدل کاملا متفاوت کار می کند. این حول دعوت از گروهی از افراد برای آزمایش نرم افزار برای مسائل امنیتی می چرخد. شرکت‌هایی که از تست امنیت جمع‌سپاری استفاده می‌کنند، از گروهی از افراد یا عموم مردم دعوت می‌کنند تا محصولات خود را بررسی کنند. این را می توان به طور مستقیم یا از طریق یک پلتفرم جمع سپاری شخص ثالث انجام داد.

مطلب مرتبط: 3 بهترین برنامه آنتی ویروس رایگان آیفون

اگرچه هرکسی می‌تواند به این برنامه‌ها بپیوندد، اما در درجه اول هکرهای اخلاقی (هکرهای کلاه سفید) یا محققان، که در جامعه به آنها گفته می‌شود، هستند که در آنها شرکت می‌کنند. و آنها شرکت می کنند زیرا معمولاً یک جایزه مالی مناسب برای کشف یک نقص امنیتی وجود دارد. بدیهی است که تعیین مبالغ به عهده هر شرکتی است، اما می‌توان ادعا کرد که جمع‌سپاری ارزان‌تر و در درازمدت مؤثرتر از تست نفوذ سنتی است.

در مقایسه با تست قلم و سایر اشکال ارزیابی ریسک، جمع سپاری مزایای مختلفی دارد. برای شروع، مهم نیست که چقدر یک شرکت تستر نفوذ خوب استخدام می کنید، گروه بزرگی از مردم که به طور مداوم به دنبال آسیب پذیری های امنیتی هستند، به احتمال زیاد آنها را کشف می کنند. یکی دیگر از مزایای آشکار Crowdsourcing این است که هر برنامه ای از این دست می تواند با پایان باز باشد، به این معنی که می تواند به طور مداوم اجرا شود، بنابراین می توان آسیب پذیری ها را در تمام طول سال کشف کرد (و اصلاح کرد).

3 نوع از برنامه های امنیتی Crowdsourced

بیشتر برنامه‌های امنیتی جمع‌سپاری حول همان مفهوم اولیه پاداش مالی به افرادی که نقص یا آسیب‌پذیری را کشف می‌کنند متمرکز هستند، اما می‌توان آنها را به سه دسته اصلی دسته‌بندی کرد.

1. پاداش اشکال

تقریباً هر غول فناوری – از فیس بوک، اپل، تا گوگل – یک برنامه پاداش باگ فعال دارد. نحوه کار آنها بسیار ساده است: یک اشکال را کشف کنید، و یک جایزه دریافت خواهید کرد. این پاداش ها از چند صد دلار تا چند میلیون متغیر است، بنابراین جای تعجب نیست که برخی از هکرهای اخلاقی با کشف آسیب پذیری های نرم افزار درآمد تمام وقت کسب می کنند.

مطلب مرتبط: Google Docs آنچه شما می نویسید را می خواند: چه چیزی را باید بدانید؟

2. برنامه های افشای آسیب پذیری

برنامه‌های افشای آسیب‌پذیری بسیار شبیه به پاداش‌های باگ هستند، اما یک تفاوت اساسی وجود دارد: این برنامه‌ها عمومی هستند. به عبارت دیگر، هنگامی که یک هکر اخلاقی یک نقص امنیتی را در یک محصول نرم افزاری کشف می کند، آن نقص به اطلاع عموم می رسد تا همه بدانند که چیست. شرکت‌های امنیت سایبری اغلب در این موارد مشارکت می‌کنند: آسیب‌پذیری را شناسایی می‌کنند، گزارشی در مورد آن می‌نویسند و توصیه‌هایی را برای توسعه‌دهنده و کاربر نهایی ارائه می‌کنند.

3. تروجان Crowdsourcing

اگر فایلی را دانلود کنید، اما مطمئن نیستید که اجرای آن بی خطر است، چه؟ چگونه بررسی می کنید که آیا بدافزار است؟ اگر در وهله اول موفق به دانلود آن شده اید، مجموعه آنتی ویروس شما آن را به عنوان مخرب تشخیص نمی دهد، بنابراین کاری که می توانید انجام دهید این است که به VirusTotal یا یک اسکنر آنلاین مشابه بروید و آن را در آنجا آپلود کنید. این ابزارها ده ها محصول آنتی ویروس را جمع آوری می کنند تا بررسی کنند که آیا فایل مورد نظر مضر است یا خیر. این نیز نوعی امنیت جمع‌سپاری است.

برخی استدلال می کنند که جرایم سایبری نوعی امنیت جمع سپاری است، اگر نگوییم شکل نهایی آن. این استدلال مطمئناً شایستگی دارد، زیرا هیچ کس به اندازه یک عامل تهدید کننده که به دنبال سوء استفاده از آن برای منافع پولی و بدنامی است، برای یافتن آسیب‌پذیری در یک سیستم انگیزه ندارد.

در پایان روز، مجرمان کسانی هستند که به طور ناخواسته صنعت امنیت سایبری را مجبور به انطباق، نوآوری و بهبود می کنند.

آینده امنیت Crowdsourced

به گفته شرکت تحلیلی Future Market Insights، بازار جهانی امنیت جمع‌سپاری در سال‌های آینده به رشد خود ادامه خواهد داد. در واقع، برآوردها می‌گویند که ارزش آن تا سال 2032 حدود 243 میلیون دلار خواهد بود. این فقط به دلیل ابتکارات بخش خصوصی نیست، بلکه به این دلیل است که دولت‌ها در سراسر جهان از امنیت جمع‌سپاری استقبال کرده‌اند—چند آژانس دولتی ایالات متحده برنامه‌های افشای آسیب‌پذیری و پاداش باگ فعال دارند. مثلا.

مطلب مرتبط: 5 گزینه ایمن رمز عبور که باید در نظر بگیرید

این پیش‌بینی‌ها مطمئناً می‌توانند مفید باشند اگر بخواهید بسنجید صنعت امنیت سایبری به کدام سمت حرکت می‌کند، اما نیازی به یک اقتصاددان نیست که بفهمد چرا نهادهای شرکتی یک رویکرد جمع‌سپاری برای امنیت را اتخاذ می‌کنند. از هر طرف که به موضوع نگاه کنید، اعداد را بررسی کنید. به علاوه، چه ضرری می تواند داشته باشد که گروهی از افراد مسئول و قابل اعتماد، ۳۶۵ روز در سال دارایی های شما را از نظر آسیب پذیری نظارت کنند؟

به طور خلاصه، مگر اینکه چیزی به طور چشمگیری در نحوه نفوذ نرم‌افزار توسط عوامل تهدید تغییر کند، به احتمال زیاد شاهد ظهور برنامه‌های امنیتی جمع‌سپاری به چپ و راست خواهیم بود. این خبر خوبی برای توسعه دهندگان، هکرهای کلاه سفید و مصرف کنندگان است، اما خبر بدی برای مجرمان سایبری است.

امنیت جمع سپاری برای محافظت در برابر جرائم سایبری

امنیت سایبری از زمان اولین کامپیوتر وجود داشته است. در طول سال ها شکل های مختلفی به خود گرفته است، اما هدف همیشه یکی بوده است: محافظت در برابر دسترسی های غیرمجاز و سرقت. در دنیای ایده آل، نیازی به امنیت سایبری نخواهد بود. اما در دنیای واقعی، محافظت از خود همه تفاوت را ایجاد می کند.

همه موارد فوق هم برای مشاغل و هم برای افراد صدق می کند. اما در حالی که یک فرد معمولی تا زمانی که از پروتکل‌های امنیتی اولیه پیروی کند می‌تواند نسبتاً ایمن بماند، سازمان‌ها به یک رویکرد فراگیر برای تهدیدات احتمالی نیاز دارند. چنین رویکردی در درجه اول باید بر پایه امنیت صفر استوار باشد.