קוראים כמוך עוזרים לתמוך ב-MUO. כאשר אתה מבצע רכישה באמצעות קישורים באתר שלנו, אנו עשויים להרוויח עמלת שותף. קרא עוד.

לפני שמוצר תוכנה חדש יוצא לשוק, הוא נבדק לאיתור נקודות תורפה. כל חברה אחראית מבצעת את הבדיקות הללו, על מנת להגן הן על לקוחותיה והן על עצמה מפני איומי סייבר.

בשנים האחרונות, מפתחים מסתמכים יותר ויותר על מיקור המונים כדי לבצע חקירות אבטחה. אבל מהי בעצם אבטחה במיקור המונים? איך זה עובד, ואיך זה בהשוואה לשיטות הערכת סיכונים נפוצות אחרות?

כיצד פועלת אבטחה במיקור המונים

ארגונים מכל הגדלים השתמשו באופן מסורתי בדיקות חדירה לאבטחת המערכות שלהם. בדיקת עט היא בעצם מתקפת סייבר מדומה שנועדה לחשוף פגמי אבטחה, בדיוק כמו שהתקפה אמיתית תעשה. אבל שלא כמו בהתקפה אמיתית, לאחר שהתגלתה, נקודות התורפה הללו מטופלות. זה מגביר את פרופיל האבטחה הכולל של הארגון המדובר. נשמע פשוט.

אבל יש כמה בעיות בולטות בבדיקות חדירה. זה מבוצע בדרך כלל מדי שנה, וזה פשוט לא מספיק, בהתחשב בכך שכל התוכנה מתעדכנת באופן קבוע. שנית, מכיוון ששוק אבטחת הסייבר רווי למדי, חברות לבדיקת עטים לפעמים "מוצאות" נקודות תורפה שבהן אין באמת כאלה כדי להצדיק תשלום עבור השירותים שלהם ולהתבלט מהן התחרות שלהם. ואז יש גם חששות תקציביים - שירותים אלה יכולים להיות יקרים למדי.

instagram viewer

אבטחה במיקור המונים עובדת על מודל אחר לגמרי. זה סובב סביב הזמנת קבוצה של אנשים לבדוק תוכנה עבור בעיות אבטחה. חברות המשתמשות בבדיקות אבטחה במיקור המונים שולחות הזמנה לקבוצת אנשים, או לציבור ככזה, לחקור את המוצרים שלהן. ניתן לעשות זאת ישירות, או באמצעות פלטפורמת מיקור המונים של צד שלישי.

למרות שכל אחד יכול להצטרף לתוכניות האלה, זה בעיקר האקרים אתיים (האקרים עם כובע לבן) או חוקרים, כפי שהם נקראים בתוך הקהילה, שמשתתפים בהם. והם משתתפים כי בדרך כלל יש פרס כספי הגון לגילוי ליקוי אבטחה. ברור שלכל חברה לקבוע את הסכומים, אך ניתן לטעון כי מיקור המונים זול ואפקטיבי יותר בטווח הארוך מבדיקות חדירה מסורתיות.

בהשוואה לבדיקת עט וצורות אחרות של הערכת סיכונים, למיקור המונים יש יתרונות רבים ושונים. בתור התחלה, לא משנה כמה טובה של חברת בודקי חדירה אתה שוכר, קבוצה גדולה של אנשים שמחפשת בעקביות פרצות אבטחה נוטה הרבה יותר לגלות אותן. יתרון ברור נוסף של מיקור המונים הוא שכל תוכנית כזו יכולה להיות פתוחה, מה שאומר שהיא יכולה לפעול ללא הרף, כך שניתן לגלות (ולתקן) פגיעויות בכל ימות השנה.

3 סוגים של תוכניות אבטחה במיקור המונים

רוב תוכניות האבטחה במיקור המונים מתרכזות סביב אותה תפיסה בסיסית של תגמול כספי למי שמגלה פגם או פגיעות, אך ניתן לקבץ אותן לשלוש קטגוריות עיקריות.

1. באג באונטיס

כמעט לכל ענקית טכנולוגיה - מפייסבוק, דרך אפל ועד גוגל - יש פעיל תוכנית הבאונטי באגים. איך הם עובדים די פשוט: גלה באג ותקבל פרס. התגמולים הללו נעים בין כמה מאות דולרים למיליונים בודדים, כך שאין זה פלא שחלק מהאקרים אתיים מרוויחים הכנסה במשרה מלאה בגילוי פרצות תוכנה.

2. תוכניות גילוי פגיעות

תוכניות חשיפת פגיעות דומות מאוד להטבות באגים, אך יש הבדל מרכזי אחד: תוכניות אלה הן ציבוריות. במילים אחרות, כאשר האקר אתי מגלה ליקוי אבטחה במוצר תוכנה, הפגם הזה מתפרסם כך שכולם יודעים מה הוא. חברות אבטחת סייבר משתתפות לעתים קרובות באלה: הן מזהות פגיעות, כותבות עליה דוח ומציעות המלצות למפתח ולמשתמש הקצה.

3. מיקור המונים של תוכנות זדוניות

מה אם אתה מוריד קובץ, אבל לא בטוח אם הוא בטוח להפעלה? איך אתה לבדוק אם זה תוכנה זדונית? אם הצלחת להוריד אותו מלכתחילה, חבילת האנטי-וירוס שלך לא הצליחה לזהות אותו בתור זדוני, אז מה שאתה יכול לעשות זה לעבור ל-VirusTotal או לסורק מקוון דומה ולהעלות אותו שם. כלים אלה אוספים עשרות מוצרי אנטי-וירוס כדי לבדוק אם הקובץ המדובר מזיק. גם זה סוג של אבטחה במיקור המונים.

יש הטוענים שפשיעת סייבר היא סוג של אבטחה במקור המונים, אם לא הצורה האולטימטיבית שלה. אין ספק לטיעון הזה יש טעם, משום שאף אחד אינו מתמריץ יותר למצוא פגיעות במערכת מאשר שחקן איום המבקש לנצל אותה למען רווח כספי ושמצה.

בסופו של יום, פושעים הם אלו שמכריחים את תעשיית אבטחת הסייבר להסתגל, לחדש ולהשתפר מבלי משים.

העתיד של אבטחת המונים

לפי חברת האנליטיקה תובנות שוק עתידיות, שוק האבטחה הגלובלי במיקור המונים ימשיך לצמוח בשנים הבאות. למעשה, הערכות אומרות שהוא יהיה שווה כ-243 מיליון דולר עד 2032. זה לא רק בגלל יוזמות של המגזר הפרטי, אלא גם בגלל שממשלות ברחבי העולם אימצו אבטחה במיקור המונים - לסוכנויות ממשלתיות מרובות בארה"ב יש תוכניות פעילות פעילות של פרס באגים וגילוי נקודות תורפה, עבור דוגמא.

תחזיות אלה בהחלט יכולות להיות שימושיות אם אתה רוצה לאמוד לאיזה כיוון צועדת תעשיית אבטחת הסייבר, אבל לא צריך כלכלן כדי להבין מדוע גופים ארגוניים מאמצים גישת מיקור המונים לאבטחה. בכל דרך שתסתכל על הנושא, המספרים בודקים. בנוסף, מה יכול להיות הנזק בכך שקבוצה של אנשים אחראיים ואמינים תפקח על הנכסים שלך לאיתור נקודות תורפה 365 ימים בשנה?

בקיצור, אלא אם כן משהו ישתנה באופן דרמטי באופן שבו התוכנה נחדרת על ידי גורמי איומים, סביר להניח שנראה תוכניות אבטחה במקור המונים צצות מימין ומשמאל. אלו חדשות טובות למפתחים, האקרים עם כובע לבן וצרכנים, אבל חדשות רעות עבור פושעי סייבר.

אבטחת מיקור המונים להגנה מפני פשעי סייבר

אבטחת סייבר קיימת מאז המחשב הראשון. זה לבש צורות רבות במהלך השנים, אבל המטרה תמיד הייתה זהה: להגן מפני גישה בלתי מורשית וגניבה. בעולם אידיאלי, לא יהיה צורך באבטחת סייבר. אבל בעולם האמיתי, ההגנה על עצמך עושה את כל ההבדל.

כל האמור לעיל חל הן על עסקים והן על אנשים פרטיים. אבל בעוד שהאדם הממוצע יכול להישאר בטוח יחסית באינטרנט כל עוד הוא פועל לפי פרוטוקולי אבטחה בסיסיים, ארגונים דורשים גישה מקיפה לאיומים פוטנציאליים. גישה כזו צריכה להתבסס בעיקר על אבטחת אמון אפס.