Trước khi một sản phẩm phần mềm mới được tung ra thị trường, nó sẽ được kiểm tra các lỗ hổng. Mọi công ty có trách nhiệm đều thực hiện các thử nghiệm này để bảo vệ cả khách hàng và chính công ty khỏi các mối đe dọa trên mạng.
Trong những năm gần đây, các nhà phát triển ngày càng dựa vào nguồn lực cộng đồng để tiến hành điều tra bảo mật. Nhưng chính xác thì bảo mật nguồn lực cộng đồng là gì? Nó hoạt động như thế nào và so sánh nó với các phương pháp đánh giá rủi ro phổ biến khác như thế nào?
Cách thức hoạt động của bảo mật Crowdsourced
Các tổ chức thuộc mọi quy mô có truyền thống sử dụng thử nghiệm thâm nhập để bảo mật hệ thống của họ. Thử nghiệm bút thực chất là một cuộc tấn công mạng mô phỏng nhằm vạch trần các lỗi bảo mật, giống như một cuộc tấn công thực sự. Nhưng không giống như trong một cuộc tấn công thực sự, một khi được phát hiện, những lỗ hổng này sẽ được vá lại. Điều này tăng cường hồ sơ bảo mật tổng thể của tổ chức được đề cập. Nghe có vẻ đơn giản.
Nhưng có một số vấn đề rõ ràng với thử nghiệm thâm nhập. Nó thường được thực hiện hàng năm, điều này đơn giản là không đủ vì tất cả phần mềm đều được cập nhật thường xuyên. Thứ hai, do thị trường an ninh mạng đã khá bão hòa, các công ty thử nghiệm bút đôi khi “tìm” các lỗ hổng mà thực sự không có để biện minh cho việc tính phí dịch vụ của họ và nổi bật so với đối thủ cạnh tranh. Sau đó, cũng có những lo ngại về ngân sách—những dịch vụ này có thể khá tốn kém.
Bảo mật cộng đồng hoạt động trên một mô hình hoàn toàn khác. Nó xoay quanh việc mời một nhóm cá nhân kiểm tra phần mềm để tìm các vấn đề bảo mật. Các công ty sử dụng thử nghiệm bảo mật có nguồn lực từ cộng đồng mở rộng lời mời tới một nhóm người hoặc công chúng như vậy để thăm dò sản phẩm của họ. Điều này có thể được thực hiện trực tiếp hoặc thông qua nền tảng cung cấp dịch vụ cộng đồng của bên thứ ba.
Mặc dù bất kỳ ai cũng có thể tham gia các chương trình này, nhưng chủ yếu là các tin tặc có đạo đức (tin tặc mũ trắng) hoặc các nhà nghiên cứu, như họ được gọi trong cộng đồng, tham gia vào chúng. Và họ tham gia vì thường có một giải thưởng tài chính xứng đáng cho việc phát hiện ra một lỗ hổng bảo mật. Rõ ràng, việc xác định số tiền tùy thuộc vào từng công ty, nhưng có thể lập luận rằng nguồn cung ứng cộng đồng rẻ hơn và hiệu quả hơn về lâu dài so với thử nghiệm thâm nhập truyền thống.
So với thử nghiệm bút và các hình thức đánh giá rủi ro khác, nguồn lực cộng đồng có nhiều lợi thế khác nhau. Đầu tiên, cho dù bạn thuê công ty kiểm tra thâm nhập tốt đến đâu, thì một nhóm lớn những người luôn tìm kiếm các lỗ hổng bảo mật sẽ có nhiều khả năng phát hiện ra chúng hơn. Một lợi thế rõ ràng khác của dịch vụ cộng đồng là bất kỳ chương trình nào như vậy đều có thể là kết thúc mở, có nghĩa là nó có thể chạy liên tục, vì vậy các lỗ hổng có thể được phát hiện (và vá) quanh năm.
3 loại chương trình bảo mật cộng đồng
Hầu hết các chương trình bảo mật có nguồn lực từ cộng đồng đều tập trung vào cùng một khái niệm cơ bản là thưởng tài chính cho những người phát hiện ra lỗ hổng hoặc lỗ hổng, nhưng chúng có thể được nhóm thành ba loại chính.
1. Tiền thưởng lỗi
Hầu như mọi gã khổng lồ công nghệ — từ Facebook, Apple cho đến Google — đều có chương trình tiền thưởng lỗi đang hoạt động. Cách chúng hoạt động khá đơn giản: phát hiện ra lỗi và bạn sẽ nhận được phần thưởng. Những phần thưởng này dao động từ vài trăm đô la đến vài triệu đô la, vì vậy không có gì ngạc nhiên khi một số tin tặc có đạo đức kiếm được thu nhập toàn thời gian khi khám phá các lỗ hổng phần mềm.
2. Chương trình tiết lộ lỗ hổng
Các chương trình tiết lộ lỗ hổng rất giống với tiền thưởng lỗi, nhưng có một điểm khác biệt chính: các chương trình này là công khai. Nói cách khác, khi một hacker có đạo đức phát hiện ra một lỗ hổng bảo mật trong một sản phẩm phần mềm, lỗ hổng đó sẽ được công khai để mọi người biết nó là gì. Các công ty an ninh mạng thường tham gia vào các hoạt động này: họ phát hiện lỗ hổng bảo mật, viết báo cáo về lỗ hổng đó và đưa ra đề xuất cho nhà phát triển cũng như người dùng cuối.
3. Phần mềm độc hại Crowdsourcing
Điều gì sẽ xảy ra nếu bạn tải xuống một tệp nhưng không chắc tệp đó có an toàn để chạy không? Làm cách nào để bạn kiểm tra xem đó có phải là phần mềm độc hại không? Nếu ngay từ đầu bạn đã quản lý để tải xuống, bộ phần mềm chống vi-rút của bạn không thể nhận ra nó là phần mềm độc hại, vì vậy điều bạn có thể làm là truy cập VirusTotal hoặc một trình quét trực tuyến tương tự và tải nó lên đó. Các công cụ này tổng hợp hàng chục sản phẩm chống vi-rút để kiểm tra xem tệp được đề cập có gây hại hay không. Đây cũng là một hình thức bảo mật có nguồn lực từ cộng đồng.
Một số người cho rằng tội phạm mạng là một hình thức bảo mật có nguồn lực từ cộng đồng, nếu không muốn nói là hình thức cuối cùng của nó. Lập luận này chắc chắn có giá trị, bởi vì không ai được khuyến khích tìm ra lỗ hổng trong hệ thống hơn là một tác nhân đe dọa đang tìm cách khai thác nó để kiếm tiền và danh tiếng.
Suy cho cùng, bọn tội phạm là những kẻ vô tình buộc ngành an ninh mạng phải thích nghi, đổi mới và cải tiến.
Tương lai của an ninh đám đông
Theo công ty phân tích Future Market Insights, thị trường bảo mật toàn cầu sẽ tiếp tục phát triển trong những năm tới. Trên thực tế, các ước tính cho biết nó sẽ trị giá khoảng 243 triệu đô la vào năm 2032. Điều này không chỉ nhờ vào các sáng kiến của khu vực tư nhân mà còn bởi vì các chính phủ trên khắp thế giới đã áp dụng biện pháp bảo mật có nguồn lực từ cộng đồng—nhiều cơ quan chính phủ Hoa Kỳ có các chương trình tiết lộ lỗ hổng và tiền thưởng lỗi tích cực. Ví dụ.
Những dự đoán này chắc chắn có thể hữu ích nếu bạn muốn đánh giá ngành an ninh mạng đang phát triển theo hướng nào, nhưng không cần một nhà kinh tế học để tìm ra lý do tại sao các tổ chức doanh nghiệp đang áp dụng phương pháp cung cấp dịch vụ đám đông để bảo mật. Cho dù bạn nhìn nhận vấn đề theo cách nào, các con số đều có tác dụng. Ngoài ra, điều gì có thể gây hại khi có một nhóm người có trách nhiệm và đáng tin cậy giám sát tài sản của bạn để tìm lỗ hổng 365 ngày một năm?
Nói tóm lại, trừ khi có điều gì đó thay đổi đáng kể trong cách phần mềm bị các tác nhân đe dọa xâm nhập, chúng ta có nhiều khả năng sẽ thấy các chương trình bảo mật có nguồn lực từ cộng đồng xuất hiện ở cả bên trái và bên phải. Đây là tin tốt cho các nhà phát triển, tin tặc mũ trắng và người tiêu dùng, nhưng lại là tin xấu cho tội phạm mạng.
Crowdsourcing Security để bảo vệ chống lại tội phạm mạng
An ninh mạng đã xuất hiện kể từ chiếc máy tính đầu tiên. Nó đã có nhiều hình thức trong những năm qua, nhưng mục tiêu luôn giống nhau: bảo vệ chống truy cập trái phép và trộm cắp. Trong một thế giới lý tưởng, sẽ không cần đến an ninh mạng. Nhưng trong thế giới thực, việc bảo vệ bản thân tạo nên sự khác biệt.
Tất cả những điều trên áp dụng cho cả doanh nghiệp và cá nhân. Nhưng trong khi một người bình thường có thể tương đối an toàn khi trực tuyến miễn là họ tuân theo các giao thức bảo mật cơ bản, thì các tổ chức lại yêu cầu một cách tiếp cận toàn diện đối với các mối đe dọa tiềm ẩn. Cách tiếp cận như vậy chủ yếu nên được thành lập dựa trên bảo mật không tin cậy.
