Voordat een nieuw softwareproduct op de markt komt, wordt het getest op kwetsbaarheden. Elk verantwoordelijk bedrijf voert deze tests uit om zowel zijn klanten als zichzelf te beschermen tegen cyberdreigingen.
De afgelopen jaren vertrouwden ontwikkelaars steeds meer op crowdsourcing om beveiligingsonderzoeken uit te voeren. Maar wat is crowdsourcing precies? Hoe werkt het en hoe verhoudt het zich tot andere gangbare risicobeoordelingsmethoden?
Hoe Crowdsourced-beveiliging werkt
Organisaties van elke omvang hebben van oudsher gebruikt penetratietesten om hun systemen te beveiligen. Pentesten is in wezen een gesimuleerde cyberaanval die bedoeld is om beveiligingsfouten aan het licht te brengen, net zoals een echte aanval dat zou doen. Maar in tegenstelling tot bij een echte aanval worden deze kwetsbaarheden, zodra ze ontdekt zijn, gedicht. Dit verhoogt het algehele beveiligingsprofiel van de betreffende organisatie. Klinkt eenvoudig.
Maar er zijn enkele opvallende problemen met penetratietesten. Het wordt meestal jaarlijks uitgevoerd, wat simpelweg niet genoeg is, aangezien alle software regelmatig wordt bijgewerkt. Ten tweede, omdat de cyberbeveiligingsmarkt nogal verzadigd is, "vinden" pentestbedrijven soms kwetsbaarheden die er echt niet zijn om het in rekening brengen van hun diensten te rechtvaardigen en zich te onderscheiden hun concurrentie. Dan zijn er ook budgettaire zorgen - deze diensten kunnen behoorlijk duur zijn.
Crowdsourced beveiliging werkt op een heel ander model. Het draait om het uitnodigen van een groep individuen om software te testen op beveiligingsproblemen. Bedrijven die gebruikmaken van crowdsourced beveiligingstesten, nodigen een groep mensen, of het publiek als zodanig, uit om hun producten te testen. Dit kan rechtstreeks of via een extern crowdsourcingplatform.
Hoewel iedereen aan deze programma's kan deelnemen, is het in de eerste plaats ethische hackers (white hat hackers) of onderzoekers, zoals ze binnen de gemeenschap worden genoemd, die eraan deelnemen. En ze doen mee omdat er meestal een behoorlijke financiële beloning is voor het ontdekken van een beveiligingsfout. Uiteraard is het aan elk bedrijf om de bedragen te bepalen, maar men kan stellen dat crowdsourcing op de lange termijn goedkoper en effectiever is dan traditionele penetratietesten.
In vergelijking met pentesten en andere vormen van risicobeoordeling heeft crowdsourcing veel verschillende voordelen. Om te beginnen, het maakt niet uit hoe goed een penetratietesterbedrijf is dat u inhuurt, een grote groep mensen die consequent op zoek zijn naar beveiligingskwetsbaarheden, zullen deze veel eerder ontdekken. Een ander voor de hand liggend voordeel van crowdsourcing is dat elk dergelijk programma een open einde kan hebben, wat betekent dat het continu kan worden uitgevoerd, zodat kwetsbaarheden het hele jaar door kunnen worden ontdekt (en verholpen).
3 soorten gecrowdsourcete beveiligingsprogramma's
De meeste gecrowdsourcete beveiligingsprogramma's zijn gecentreerd rond hetzelfde basisconcept: het financieel belonen van degenen die een fout of kwetsbaarheid ontdekken, maar ze kunnen worden gegroepeerd in drie hoofdcategorieën.
1. Bug premies
Vrijwel elke technologiegigant - van Facebook, over Apple tot Google - heeft een actief bug bounty-programma. Hoe ze werken is vrij eenvoudig: ontdek een bug en je ontvangt een beloning. Deze beloningen variëren van een paar honderd dollar tot een paar miljoen, dus het is geen wonder dat sommige ethische hackers een voltijds inkomen verdienen door softwarekwetsbaarheden te ontdekken.
2. Programma's voor het vrijgeven van kwetsbaarheden
Programma's voor het vrijgeven van kwetsbaarheden lijken sterk op premies voor bugs, maar er is één belangrijk verschil: deze programma's zijn openbaar. Met andere woorden, wanneer een ethische hacker een beveiligingsfout ontdekt in een softwareproduct, wordt die fout gepubliceerd zodat iedereen weet wat het is. Cybersecuritybedrijven doen hier vaak aan mee: ze signaleren een kwetsbaarheid, schrijven er een rapport over en doen aanbevelingen voor de ontwikkelaar en eindgebruiker.
3. Crowdsourcing van malware
Wat als u een bestand downloadt, maar niet zeker weet of het veilig is om het uit te voeren? Hoe doe je controleer of het malware is? Als het je in de eerste plaats lukte om het te downloaden, herkende je antivirussuite het niet als kwaadaardig, dus wat u kunt doen, is naar VirusTotal of een vergelijkbare online scanner gaan en het uploaden daar. Deze tools verzamelen tientallen antivirusproducten om te controleren of het betreffende bestand schadelijk is. Ook dit is een vorm van crowdsourced security.
Sommigen beweren dat cybercriminaliteit een vorm van gecrowdsourcete beveiliging is, zo niet de ultieme vorm ervan. Dit argument heeft zeker verdienste, omdat niemand meer wordt gestimuleerd om een kwetsbaarheid in een systeem te vinden dan een bedreigingsactor die het wil misbruiken voor geldelijk gewin en bekendheid.
Uiteindelijk zijn het criminelen die de cyberbeveiligingsindustrie onbedoeld dwingen zich aan te passen, te innoveren en te verbeteren.
De toekomst van gecrowdsourcete beveiliging
Dat meldt het analysebureau Toekomstige marktinzichten, zal de wereldwijde crowdsourced beveiligingsmarkt de komende jaren blijven groeien. Volgens schattingen zal het in 2032 zelfs ongeveer $ 243 miljoen waard zijn. Dit is niet alleen te danken aan initiatieven van de particuliere sector, maar ook omdat regeringen over de hele wereld het hebben omarmd crowdsourced beveiliging – meerdere Amerikaanse overheidsinstanties hebben actieve programma's voor het vrijgeven van bugs en het vrijgeven van kwetsbaarheden voorbeeld.
Deze voorspellingen kunnen zeker nuttig zijn als je wilt peilen in welke richting de cybersecurity-industrie zich beweegt, maar er is geen econoom voor nodig om erachter te komen waarom bedrijfsentiteiten een crowdsourcing-benadering van beveiliging hanteren. Hoe je het probleem ook bekijkt, de cijfers kloppen. Bovendien, wat zou het kwaad kunnen zijn als een groep verantwoordelijke en betrouwbare mensen uw bedrijfsmiddelen 365 dagen per jaar controleert op kwetsbaarheden?
Kortom, tenzij er iets drastisch verandert in de manier waarop software wordt binnengedrongen door bedreigingsactoren, zullen we hoogstwaarschijnlijk gecrowdsourcete beveiligingsprogramma's links en rechts zien opduiken. Dit is goed nieuws voor ontwikkelaars, white hat-hackers en consumenten, maar slecht nieuws voor cybercriminelen.
Crowdsourcingbeveiliging om te beschermen tegen cybercriminaliteit
Cybersecurity bestaat al sinds de eerste computer. Het heeft in de loop der jaren vele vormen aangenomen, maar het doel is altijd hetzelfde geweest: bescherming tegen ongeoorloofde toegang en diefstal. In een ideale wereld zou cybersecurity niet nodig zijn. Maar in de echte wereld maakt het beschermen van jezelf het verschil.
Bovenstaande geldt voor zowel bedrijven als particulieren. Maar hoewel de gemiddelde persoon online relatief veilig kan blijven zolang hij de basisbeveiligingsprotocollen volgt, hebben organisaties een allesomvattende aanpak van potentiële bedreigingen nodig. Een dergelijke aanpak zou in de eerste plaats gebaseerd moeten zijn op zero trust-beveiliging.