Crowdsourced Security คืออะไร?

ก่อนที่จะออกผลิตภัณฑ์ซอฟต์แวร์ใหม่ออกสู่ตลาด ซอฟต์แวร์ดังกล่าวจะได้รับการทดสอบหาช่องโหว่ บริษัทที่รับผิดชอบทุกแห่งทำการทดสอบเหล่านี้เพื่อปกป้องทั้งลูกค้าและตัวมันเองจากภัยคุกคามทางไซเบอร์

ในช่วงไม่กี่ปีที่ผ่านมา นักพัฒนาอาศัยการระดมทุนจากมวลชนมากขึ้นเพื่อทำการทดสอบความปลอดภัย แต่จริงๆ แล้ว Crowdsourced Security คืออะไรกันแน่? มันทำงานอย่างไร และแตกต่างจากวิธีการประเมินความเสี่ยงยอดนิยมอื่น ๆ อย่างไร?

วิธีการทำงานของ Crowdsourced Security

องค์กรทุกขนาดมักจะใช้การทดสอบการเจาะระบบเพื่อรักษาความปลอดภัยให้กับระบบของตน Pentest คือการโจมตีทางไซเบอร์จำลองที่เปิดเผยข้อบกพร่องด้านความปลอดภัย เช่นเดียวกับการโจมตีจริง แต่แตกต่างจากการโจมตีจริงเมื่อตรวจพบแล้ว ช่องโหว่เหล่านี้ได้รับการแก้ไข สิ่งนี้จะเสริมความแข็งแกร่งให้กับโปรไฟล์ความปลอดภัยโดยรวมขององค์กรที่เป็นปัญหา ฟังดูง่ายใช่มั้ย?

แต่มีปัญหาบางอย่างกับการทดสอบการเจาะ โดยปกติจะทำเพียงปีละครั้งเท่านั้น ซึ่งไม่เพียงพอ เนื่องจากซอฟต์แวร์ทั้งหมดได้รับการอัพเดตเป็นประจำ ประการที่สอง เนื่องจากตลาดความปลอดภัยทางไซเบอร์ค่อนข้างอิ่มตัว บางครั้งบริษัทที่เจาะลึกจึง "ค้นหา" ช่องโหว่ที่ไม่มีอยู่จริงเพื่อพิสูจน์การเรียกเก็บเงินสำหรับบริการของตนและโดดเด่นจากคู่แข่ง คู่แข่ง นอกจากนี้ยังมีข้อกังวลด้านงบประมาณด้วย - บริการเหล่านี้อาจมีราคาค่อนข้างแพง

Crowdsourced Security ดำเนินการในรูปแบบที่แตกต่างไปจากเดิมอย่างสิ้นเชิง มันเกี่ยวข้องกับการเชิญกลุ่มบุคคลให้ทดสอบซอฟต์แวร์เพื่อหาปัญหาด้านความปลอดภัย บริษัทที่ใช้ Crowdsourced Security ส่งคำเชิญไปยังกลุ่มบุคคลหรือบุคคลทั่วไปให้ทดสอบผลิตภัณฑ์ของตน ซึ่งสามารถทำได้โดยตรงหรือผ่านแพลตฟอร์มการระดมทุนจากบุคคลที่สาม

แม้ว่าใครๆ ก็สามารถเข้าร่วมในโครงการเหล่านี้ได้ แต่กลุ่มเป้าหมายหลักจะเป็นแฮกเกอร์หรือนักวิจัยหมวกขาว มักจะได้รับผลตอบแทนทางการเงินจำนวนมากจากการค้นพบช่องโหว่ด้านความปลอดภัย แน่นอนว่าการกำหนดจำนวนเงินนั้นขึ้นอยู่กับแต่ละบริษัท แต่การระดมทุนจากมวลชนนั้นมีราคาถูกกว่าและมีประสิทธิภาพมากกว่าในระยะยาวมากกว่าการทดสอบการเจาะระบบแบบดั้งเดิม

เมื่อเปรียบเทียบกับ Pentesting และการประเมินความเสี่ยงในรูปแบบอื่นๆ การระดมทุนจากมวลชนมีข้อดีหลายประการ ประการแรก ไม่ว่าคุณจะจ้างบริษัททดสอบการเจาะระบบที่ดีเพียงใด คนกลุ่มใหญ่ที่มองหาช่องโหว่ด้านความปลอดภัยมักจะมีแนวโน้มที่จะค้นพบช่องโหว่เหล่านี้มากขึ้น ข้อได้เปรียบที่ชัดเจนอีกประการหนึ่งของคราวด์ซอร์สซิ่งก็คือโปรแกรมใดๆ ก็ตามที่เป็นโปรแกรมปลายเปิด ซึ่งหมายความว่าโปรแกรมสามารถทำงานได้อย่างต่อเนื่อง จึงสามารถตรวจพบช่องโหว่ (และแพตช์) ได้ตลอดทั้งปี

โปรแกรม Crowdsourced Security 3 ประเภท

โปรแกรม Crowdsourced Security ส่วนใหญ่มุ่งเน้นไปที่แนวคิดพื้นฐานเดียวกันของผู้ค้นพบช่องโหว่ที่ให้รางวัลทางการเงิน แต่สามารถแบ่งออกเป็นสามประเภทหลักได้

1. รับโบนัสเมื่อพบข้อบกพร่อง

ยักษ์ใหญ่ด้านเทคโนโลยีเกือบทุกราย ตั้งแต่ Facebook, Apple ไปจนถึง Google มีโปรแกรม Bug Bounty ที่ใช้งานอยู่ วิธีการทำงานนั้นค่อนข้างง่าย: ตรวจพบจุดบกพร่องแล้วคุณจะได้รับรางวัล รางวัลเหล่านี้มีตั้งแต่ไม่กี่ร้อยถึงสองสามล้านดอลลาร์ จึงไม่น่าแปลกใจที่แฮกเกอร์หมวกขาวบางคนจะได้รับรายได้เต็มเวลาจากการค้นพบช่องโหว่ของซอฟต์แวร์

2. โปรแกรมการเปิดเผยช่องโหว่

โปรแกรมการเปิดเผยช่องโหว่มีความคล้ายคลึงกับกลุ่มข้างต้นมาก แต่มีความแตกต่างที่สำคัญอย่างหนึ่ง: โปรแกรมเหล่านี้เป็นแบบสาธารณะ กล่าวอีกนัยหนึ่ง เมื่อแฮ็กเกอร์หมวกขาวค้นพบข้อบกพร่องด้านความปลอดภัยในผลิตภัณฑ์ซอฟต์แวร์ ข้อบกพร่องนั้นจะถูกเปิดเผยต่อสาธารณะเพื่อให้ทุกคนทราบ บริษัทรักษาความปลอดภัยทางไซเบอร์มักจะมีส่วนร่วมในกิจกรรมเหล่านี้: พวกเขาค้นพบช่องโหว่ เขียนรายงานเกี่ยวกับช่องโหว่เหล่านั้น และให้คำแนะนำแก่นักพัฒนาและผู้ใช้ปลายทาง

3. การระดมทุนจากมัลแวร์

จะเกิดอะไรขึ้นหากคุณดาวน์โหลดไฟล์แต่ไม่แน่ใจว่าจะรันได้อย่างปลอดภัยหรือไม่ คุณจะตรวจสอบได้อย่างไรว่าเป็นมัลแวร์? ชุดโปรแกรมป้องกันไวรัสของคุณอาจไม่รู้จักว่าเป็นอันตราย ดังนั้นสิ่งที่คุณทำได้คือไปที่ VirusTotal หรือโปรแกรมสแกนไวรัสออนไลน์ที่คล้ายกัน แล้วอัปโหลดไฟล์ที่นั่น เครื่องมือเหล่านี้สังเคราะห์ผลิตภัณฑ์แอนตี้ไวรัสมากมายเพื่อตรวจสอบว่าไฟล์ที่เป็นปัญหานั้นเป็นอันตรายหรือไม่ นี่เป็นรูปแบบหนึ่งของ Crowdsourced Security

บางคนเชื่อว่าอาชญากรรมในโลกไซเบอร์เป็นรูปแบบหนึ่งของ Crowdsourced Security ข้อโต้แย้งนี้สมเหตุสมผล เนื่องจากไม่มีใครมีแรงจูงใจในการค้นหาจุดอ่อนในระบบมากไปกว่าผู้แสดงภัยคุกคามที่ต้องการใช้ประโยชน์จากมันเพื่อเงินและชื่อเสียง ท้ายที่สุดแล้ว อาชญากรคือผู้ที่บังคับให้อุตสาหกรรมความปลอดภัยทางไซเบอร์ปรับตัว สร้างสรรค์ และปรับปรุงโดยไม่ได้ตั้งใจ

อนาคตของการรักษาความปลอดภัยแบบ Crowdsourced

จากข้อมูลของบริษัทวิเคราะห์ Future Market Insights ตลาดความปลอดภัยทั่วโลกจะยังคงเติบโตต่อไปในปีต่อๆ ไป ในความเป็นจริง การประมาณการบอกว่าจะมีมูลค่าประมาณ 243 ล้านดอลลาร์ภายในปี 2575 ซึ่งไม่เพียงต้องขอบคุณโครงการริเริ่มของภาคเอกชนเท่านั้น แต่ยังเป็นเพราะรัฐบาลทั่วโลกได้นำมาตรการรักษาความปลอดภัยแบบ Crowdsourced มาใช้

การคาดการณ์เหล่านี้มีประโยชน์อย่างแน่นอนหากคุณต้องการวัดทิศทางที่อุตสาหกรรมความปลอดภัยทางไซเบอร์กำลังมุ่งหน้าไป แต่นักเศรษฐศาสตร์ไม่จำเป็นต้องหาคำตอบว่าทำไมองค์กรระดับองค์กรจึงใช้แนวทางนี้ นั่นคือการระดมทุนจากมวลชนเพื่อวัตถุประสงค์ด้านความปลอดภัย ไม่ว่าคุณจะมองอย่างไร ตัวเลขก็มีความสำคัญ นอกจากนี้ การมีทีมงานที่มีความรับผิดชอบและเชื่อถือได้คอยติดตามทรัพย์สินของคุณเพื่อหาช่องโหว่ 365 วันต่อปีจะส่งผลเสียอะไรบ้าง?

กล่าวโดยสรุป เว้นแต่จะมีการเปลี่ยนแปลงอย่างมากในวิธีที่ซอฟต์แวร์ถูกบุกรุกโดยผู้คุกคาม เรามีแนวโน้มมากขึ้นที่จะเห็นโปรแกรมรักษาความปลอดภัยที่รวบรวมจากมวลชนปรากฏขึ้นในทั้งสองด้าน นี่เป็นข่าวดีสำหรับนักพัฒนา แฮกเกอร์หมวกขาว และผู้บริโภค แต่เป็นข่าวร้ายสำหรับอาชญากรไซเบอร์