Was ist Crowdsourcing-Sicherheit?

Bevor ein neues Softwareprodukt auf den Markt kommt, wird es auf Schwachstellen getestet. Jedes verantwortungsbewusste Unternehmen führt diese Tests durch, um sowohl seine Kunden als auch sich selbst vor Cyber-Bedrohungen zu schützen.

In den letzten Jahren haben sich Entwickler zunehmend auf Crowdsourcing verlassen, um Sicherheitsuntersuchungen durchzuführen. Aber was genau ist Crowdsourcing-Sicherheit? Wie funktioniert es und wie schneidet es im Vergleich zu anderen gängigen Risikobewertungsmethoden ab?

Wie Crowdsourcing-Sicherheit funktioniert

Unternehmen aller Größen haben traditionell Penetrationstests eingesetzt, um ihre Systeme zu sichern. Pen-Testing ist im Wesentlichen ein simulierter Cyberangriff, der Sicherheitslücken aufdecken soll, genau wie ein echter Angriff. Aber anders als bei einem echten Angriff werden diese Sicherheitslücken nach ihrer Entdeckung gepatcht. Dies verbessert das Gesamtsicherheitsprofil der betreffenden Organisation. Klingt einfach.

Aber es gibt einige eklatante Probleme mit Penetrationstests. Es wird in der Regel jährlich durchgeführt, was einfach nicht ausreicht, da die gesamte Software regelmäßig aktualisiert wird. Da zweitens der Markt für Cybersicherheit ziemlich gesättigt ist, „finden“ Unternehmen für Penetrationstests manchmal Schwachstellen, wo eigentlich keine sind, um eine Gebührenerhebung für ihre Dienste zu rechtfertigen und sich von der Konkurrenz abzuheben. Dann gibt es auch Budgetprobleme – diese Dienste können ziemlich kostspielig sein.

Crowdsourcing-Sicherheit funktioniert nach einem ganz anderen Modell. Es dreht sich darum, eine Gruppe von Einzelpersonen einzuladen, Software auf Sicherheitsprobleme zu testen. Unternehmen, die Crowdsourcing-Sicherheitstests verwenden, laden eine Gruppe von Personen oder die Öffentlichkeit als solche ein, ihre Produkte zu testen. Dies kann direkt oder über eine Crowdsourcing-Plattform eines Drittanbieters erfolgen.

Obwohl jeder an diesen Programmen teilnehmen kann, nehmen hauptsächlich ethische Hacker (White-Hat-Hacker) oder Forscher, wie sie in der Community genannt werden, daran teil. Und sie machen mit, weil es normalerweise eine anständige finanzielle Belohnung für die Entdeckung einer Sicherheitslücke gibt. Natürlich ist es jedem Unternehmen überlassen, die Summen festzulegen, aber man kann argumentieren, dass Crowdsourcing auf lange Sicht billiger und effektiver ist als herkömmliche Penetrationstests.

Im Vergleich zu Penetrationstests und anderen Formen der Risikobewertung hat Crowdsourcing viele verschiedene Vorteile. Zunächst einmal, egal wie gut eine Penetrationstester-Firma ist, die Sie beauftragen, eine große Gruppe von Leuten, die ständig nach Sicherheitslücken suchen, wird sie viel wahrscheinlicher entdecken. Ein weiterer offensichtlicher Vorteil von Crowdsourcing besteht darin, dass ein solches Programm unbegrenzt sein kann, was bedeutet, dass es kontinuierlich ausgeführt werden kann, sodass Schwachstellen das ganze Jahr über entdeckt (und behoben) werden können.

3 Arten von Crowdsourcing-Sicherheitsprogrammen

Die meisten Crowdsourcing-Sicherheitsprogramme basieren auf demselben Grundkonzept, diejenigen finanziell zu belohnen, die einen Fehler oder eine Schwachstelle entdecken, aber sie können in drei Hauptkategorien eingeteilt werden.

1. Bug-Prämien

Praktisch jeder Technologiegigant – von Facebook über Apple bis hin zu Google – hat ein aktives Bug-Bounty-Programm. Ihre Funktionsweise ist ziemlich einfach: Entdecken Sie einen Fehler und Sie erhalten eine Belohnung. Diese Belohnungen reichen von ein paar hundert Dollar bis zu ein paar Millionen, also ist es kein Wunder, dass einige ethische Hacker ein Vollzeiteinkommen verdienen, indem sie Software-Schwachstellen entdecken.

2. Programme zur Offenlegung von Schwachstellen

Programme zur Offenlegung von Schwachstellen sind Bug Bountys sehr ähnlich, aber es gibt einen wesentlichen Unterschied: Diese Programme sind öffentlich. Mit anderen Worten, wenn ein ethischer Hacker eine Sicherheitslücke in einem Softwareprodukt entdeckt, wird diese Lücke veröffentlicht, damit jeder weiß, was es ist. Cybersicherheitsfirmen beteiligen sich häufig daran: Sie entdecken eine Schwachstelle, schreiben einen Bericht darüber und geben Empfehlungen für Entwickler und Endbenutzer.

3. Malware-Crowdsourcing

Was ist, wenn Sie eine Datei herunterladen, sich aber nicht sicher sind, ob sie sicher ausgeführt werden kann? Wie prüfen Sie, ob es sich um Malware handelt? Wenn Sie es überhaupt geschafft haben, es herunterzuladen, hat Ihre Antivirus-Suite es nicht als bösartig erkannt. Sie können also zu VirusTotal oder einem ähnlichen Online-Scanner gehen und es dort hochladen. Diese Tools fassen Dutzende von Antivirus-Produkten zusammen, um zu prüfen, ob die betreffende Datei schädlich ist. Auch dies ist eine Form von Crowdsourcing-Sicherheit.

Einige argumentieren, dass Cyberkriminalität eine Form von Crowdsourcing-Sicherheit ist, wenn nicht die ultimative Form davon. Dieses Argument hat sicherlich seine Berechtigung, denn niemand hat einen größeren Anreiz, eine Schwachstelle in einem System zu finden, als ein Bedrohungsakteur, der versucht, sie für finanziellen Gewinn und Bekanntheit auszunutzen.

Letztendlich sind es Kriminelle, die die Cybersicherheitsbranche unbeabsichtigt dazu zwingen, sich anzupassen, zu erneuern und zu verbessern.

Die Zukunft der Crowdsourcing-Sicherheit

Laut dem Analyseunternehmen Future Market Insights wird der globale Crowdsourcing-Sicherheitsmarkt in den kommenden Jahren weiter wachsen. Tatsächlich wird es Schätzungen zufolge bis 2032 rund 243 Millionen US-Dollar wert sein. Dies ist nicht nur auf Initiativen des Privatsektors zurückzuführen, sondern auch darauf, dass Regierungen auf der ganzen Welt Crowdsourcing-Sicherheit eingeführt haben – mehrere US-Regierungsbehörden haben aktive Bug-Bounty- und Schwachstellen-Offenlegungsprogramme. zum Beispiel.

Diese Vorhersagen können sicherlich nützlich sein, wenn Sie abschätzen möchten, in welche Richtung sich die Cybersicherheitsbranche bewegt, aber es braucht keinen Ökonomen, um herauszufinden, warum Unternehmen einen Crowdsourcing-Sicherheitsansatz verfolgen. Wie auch immer Sie das Problem betrachten, die Zahlen sehen aus. Außerdem, was könnte schon schaden, wenn eine Gruppe verantwortungsbewusster und vertrauenswürdiger Personen Ihre Anlagen 365 Tage im Jahr auf Schwachstellen überwacht?

Kurz gesagt, wenn sich die Art und Weise, wie Software von Bedrohungsakteuren durchdrungen wird, nicht dramatisch ändert, werden wir höchstwahrscheinlich sehen, dass Crowdsourcing-Sicherheitsprogramme links und rechts auftauchen. Das sind gute Nachrichten für Entwickler, White-Hat-Hacker und Verbraucher, aber schlechte Nachrichten für Cyberkriminelle.

Crowdsourcing-Sicherheit zum Schutz vor Cyberkriminalität

Cybersicherheit gibt es seit dem ersten Computer. Es hat im Laufe der Jahre viele Formen angenommen, aber das Ziel war immer dasselbe: Schutz vor unbefugtem Zugriff und Diebstahl. In einer idealen Welt wäre Cybersicherheit nicht erforderlich. Aber in der realen Welt macht es den Unterschied, sich selbst zu schützen.

Alle oben genannten Punkte gelten sowohl für Unternehmen als auch für Privatpersonen. Aber während die durchschnittliche Person online relativ sicher bleiben kann, solange sie grundlegende Sicherheitsprotokolle befolgt, benötigen Unternehmen einen allumfassenden Ansatz für potenzielle Bedrohungen. Ein solcher Ansatz sollte in erster Linie auf Zero-Trust-Sicherheit beruhen.