Bevor ein neues Softwareprodukt auf den Markt kommt, wird es auf Schwachstellen getestet. Jedes verantwortungsbewusste Unternehmen führt diese Tests durch, um sowohl seine Kunden als auch sich selbst vor Cyber-Bedrohungen zu schützen.
In den letzten Jahren haben sich Entwickler zunehmend auf Crowdsourcing verlassen, um Sicherheitsuntersuchungen durchzuführen. Aber was genau ist Crowdsourcing-Sicherheit? Wie funktioniert es und wie schneidet es im Vergleich zu anderen gängigen Risikobewertungsmethoden ab?
Wie Crowdsourcing-Sicherheit funktioniert
Unternehmen aller Größen haben traditionell genutzt Penetrationstests zur Sicherung ihrer Systeme. Pen-Testing ist im Wesentlichen ein simulierter Cyberangriff, der Sicherheitslücken aufdecken soll, genau wie ein echter Angriff. Aber anders als bei einem echten Angriff werden diese Sicherheitslücken nach ihrer Entdeckung gepatcht. Dies verbessert das Gesamtsicherheitsprofil der betreffenden Organisation. Klingt einfach.
Aber es gibt einige eklatante Probleme mit Penetrationstests. Es wird in der Regel jährlich durchgeführt, was einfach nicht ausreicht, da die gesamte Software regelmäßig aktualisiert wird. Zweitens, weil der Markt für Cybersicherheit ziemlich gesättigt ist, "finden" Pen-Testing-Unternehmen manchmal Schwachstellen, wo es wirklich keine gibt, um eine Gebühr für ihre Dienste zu rechtfertigen und sich von ihnen abzuheben ihre Konkurrenz. Dann gibt es auch Budgetprobleme – diese Dienste können ziemlich kostspielig sein.
Crowdsourcing-Sicherheit funktioniert nach einem ganz anderen Modell. Es dreht sich darum, eine Gruppe von Einzelpersonen einzuladen, Software auf Sicherheitsprobleme zu testen. Unternehmen, die Crowdsourcing-Sicherheitstests verwenden, laden eine Gruppe von Personen oder die Öffentlichkeit als solche ein, ihre Produkte zu testen. Dies kann direkt oder über eine Crowdsourcing-Plattform eines Drittanbieters erfolgen.
Obwohl jeder an diesen Programmen teilnehmen kann, ist es in erster Linie Ethische Hacker (White Hat Hacker) oder Forscher, wie sie in der Gemeinschaft genannt werden, die an ihnen teilnehmen. Und sie machen mit, weil es normalerweise eine anständige finanzielle Belohnung für die Entdeckung einer Sicherheitslücke gibt. Natürlich ist es jedem Unternehmen überlassen, die Summen festzulegen, aber man kann argumentieren, dass Crowdsourcing auf lange Sicht billiger und effektiver ist als herkömmliche Penetrationstests.
Im Vergleich zu Penetrationstests und anderen Formen der Risikobewertung hat Crowdsourcing viele verschiedene Vorteile. Zunächst einmal, egal wie gut eine Penetrationstester-Firma ist, die Sie beauftragen, eine große Gruppe von Leuten, die ständig nach Sicherheitslücken suchen, wird sie viel wahrscheinlicher entdecken. Ein weiterer offensichtlicher Vorteil von Crowdsourcing besteht darin, dass ein solches Programm unbegrenzt sein kann, was bedeutet, dass es kontinuierlich ausgeführt werden kann, sodass Schwachstellen das ganze Jahr über entdeckt (und behoben) werden können.
3 Arten von Crowdsourcing-Sicherheitsprogrammen
Die meisten Crowdsourcing-Sicherheitsprogramme basieren auf demselben Grundkonzept, diejenigen finanziell zu belohnen, die einen Fehler oder eine Schwachstelle entdecken, aber sie können in drei Hauptkategorien eingeteilt werden.
1. Fehlerprämien
Nahezu jeder Technologiegigant – von Facebook über Apple bis hin zu Google – hat eine aktive Bug-Bounty-Programm. Ihre Funktionsweise ist ziemlich einfach: Entdecken Sie einen Fehler und Sie erhalten eine Belohnung. Diese Belohnungen reichen von ein paar hundert Dollar bis zu ein paar Millionen, also ist es kein Wunder, dass einige ethische Hacker ein Vollzeiteinkommen verdienen, indem sie Software-Schwachstellen entdecken.
2. Offenlegungsprogramme für Schwachstellen
Programme zur Offenlegung von Schwachstellen sind Bug Bountys sehr ähnlich, aber es gibt einen wesentlichen Unterschied: Diese Programme sind öffentlich. Mit anderen Worten, wenn ein ethischer Hacker eine Sicherheitslücke in einem Softwareprodukt entdeckt, wird diese Lücke veröffentlicht, damit jeder weiß, was es ist. Cybersicherheitsfirmen beteiligen sich häufig daran: Sie entdecken eine Schwachstelle, schreiben einen Bericht darüber und geben Empfehlungen für Entwickler und Endbenutzer.
3. Malware-Crowdsourcing
Was ist, wenn Sie eine Datei herunterladen, sich aber nicht sicher sind, ob sie sicher ausgeführt werden kann? Wie geht es dir? überprüfen, ob es Malware ist? Wenn Sie es überhaupt geschafft haben, es herunterzuladen, hat Ihre Antivirus-Suite es nicht als erkannt bösartig, Sie können also zu VirusTotal oder einem ähnlichen Online-Scanner gehen und es hochladen Dort. Diese Tools fassen Dutzende von Antivirus-Produkten zusammen, um zu prüfen, ob die betreffende Datei schädlich ist. Auch dies ist eine Form von Crowdsourcing-Sicherheit.
Einige argumentieren, dass Cyberkriminalität eine Form von Crowdsourcing-Sicherheit ist, wenn nicht die ultimative Form davon. Dieses Argument hat sicherlich seine Berechtigung, denn niemand hat einen größeren Anreiz, eine Schwachstelle in einem System zu finden, als ein Bedrohungsakteur, der versucht, sie für finanziellen Gewinn und Bekanntheit auszunutzen.
Letztendlich sind es Kriminelle, die die Cybersicherheitsbranche unbeabsichtigt dazu zwingen, sich anzupassen, zu erneuern und zu verbessern.
Die Zukunft der Crowdsourcing-Sicherheit
Nach Angaben des Analyseunternehmens Zukünftige Markteinblicke, wird der globale Crowdsourcing-Sicherheitsmarkt in den kommenden Jahren weiter wachsen. Schätzungen gehen sogar davon aus, dass es bis 2032 einen Wert von rund 243 Millionen US-Dollar haben wird. Dies ist nicht nur auf Initiativen des Privatsektors zurückzuführen, sondern auch darauf, dass Regierungen auf der ganzen Welt zugestimmt haben Crowdsourcing-Sicherheit – mehrere US-Regierungsbehörden haben aktive Bug-Bounty- und Schwachstellen-Offenlegungsprogramme, z Beispiel.
Diese Vorhersagen können sicherlich nützlich sein, wenn Sie abschätzen möchten, in welche Richtung sich die Cybersicherheitsbranche bewegt. Aber man muss kein Ökonom sein, um herauszufinden, warum Unternehmen einen Crowdsourcing-Ansatz für Sicherheit verfolgen. Wie auch immer Sie das Problem betrachten, die Zahlen sehen aus. Außerdem, was könnte schon schaden, wenn eine Gruppe verantwortungsbewusster und vertrauenswürdiger Personen Ihre Anlagen 365 Tage im Jahr auf Schwachstellen überwacht?
Kurz gesagt, wenn sich die Art und Weise, wie Software von Bedrohungsakteuren durchdrungen wird, nicht dramatisch ändert, werden wir höchstwahrscheinlich sehen, dass Crowdsourcing-Sicherheitsprogramme links und rechts auftauchen. Das sind gute Nachrichten für Entwickler, White-Hat-Hacker und Verbraucher, aber schlechte Nachrichten für Cyberkriminelle.
Crowdsourcing-Sicherheit zum Schutz vor Cyberkriminalität
Cybersicherheit gibt es seit dem ersten Computer. Es hat im Laufe der Jahre viele Formen angenommen, aber das Ziel war immer dasselbe: Schutz vor unbefugtem Zugriff und Diebstahl. In einer idealen Welt wäre Cybersicherheit nicht erforderlich. Aber in der realen Welt macht es den Unterschied, sich selbst zu schützen.
Alle oben genannten Punkte gelten sowohl für Unternehmen als auch für Privatpersonen. Aber während die durchschnittliche Person online relativ sicher bleiben kann, solange sie grundlegende Sicherheitsprotokolle befolgt, benötigen Unternehmen einen allumfassenden Ansatz für potenzielle Bedrohungen. Ein solcher Ansatz sollte in erster Linie auf Zero-Trust-Sicherheit basieren.