众包安全是什么

crowdsourced-security 在新软件产品投放市场之前,会对其进行漏洞测试。每个负责任的公司都会进行这些测试,以保护其客户和自身免受网络威胁。 近年来,开发人员越来越依赖众包来进行安全调查。但究竟什么是众包安全?它是如何工作的,它与其他常见的风险评估方法相比如何?

众包安全的工作原理

传统上,各种规模的组织都使用渗透测试来保护他们的系统。渗透测试本质上是一种模拟的网络攻击,旨在暴露安全漏洞,就像真正的攻击一样。但与真正的攻击不同,一旦发现,这些漏洞就会被修补。这提高了相关组织的整体安全状况。听起来很简单。 但是渗透测试存在一些明显的问题。它通常每年执行一次,这根本不够,因为所有软件都会定期更新。其次,由于网络安全市场已经相当饱和,渗透测试公司有时会“发现”实际上并不存在的漏洞,以便为其服务收费并在竞争中脱颖而出。然后还有预算问题——这些服务可能非常昂贵。 众包安全工作在一个完全不同的模型上。它围绕着邀请一组人来测试软件的安全问题。使用众包安全测试的公司会向一群人或公众发出邀请,以测试他们的产品。这可以直接完成,也可以通过第三方众包平台完成。 how-crowdsourced-security-works 尽管任何人都可以加入这些计划,但参与其中的主要是道德黑客(白帽黑客)或研究人员,正如他们在社区中所称的那样。他们之所以参与,是因为发现安全漏洞通常会获得可观的经济奖励。显然,由每家公司决定总和,但可以说,从长远来看,众包比传统渗透测试更便宜、更有效。 与渗透测试和其他形式的风险评估相比,众包具有许多不同的优势。首先,无论您雇用的渗透测试公司多么出色,一大群不断寻找安全漏洞的人更有可能发现这些漏洞。众包的另一个明显优势是任何此类程序都可以是开放式的,这意味着它可以连续运行,因此全年都可以发现(并修补)漏洞。

3 种众包安全程序

大多数众包安全计划都围绕着相同的基本概念,即对发现缺陷或漏洞的人进行经济奖励,但它们可以分为三大类。

1. 漏洞赏金

几乎每个科技巨头——从 Facebook、苹果到谷歌——都有一个活跃的漏洞赏金计划。它们的工作原理非常简单:发现错误,您将获得奖励。这些奖励从几百美元到几百万美元不等,因此一些道德黑客通过发现软件漏洞赚取全职收入也就不足为奇了。

2.漏洞披露计划

漏洞披露计划与漏洞赏金计划非常相似,但有一个关键区别:这些计划是公开的。换句话说,当道德黑客发现软件产品中的安全漏洞时,该漏洞就会被公开,以便每个人都知道它是什么。网络安全公司经常参与其中:他们发现漏洞,撰写相关报告,并为开发人员和最终用户提供建议。

3. 恶意软件众包

如果您下载了一个文件,但不确定运行它是否安全怎么办?你如何检查它是否是恶意软件?如果您首先设法下载了它,您的防病毒套件无法将其识别为恶意软件,因此您可以做的是前往 VirusTotal 或类似的在线扫描程序并将其上传到那里。这些工具汇集了数十种防病毒产品,以检查相关文件是否有害。这也是众包安全的一种形式。 一些人认为网络犯罪是众包安全的一种形式,如果不是它的最终形式的话。这个论点当然是有道理的,因为没有人比威胁者更愿意在系统中寻找漏洞,而威胁者希望利用它来获取金钱利益和声名狼藉。 归根结底,犯罪分子无意中迫使网络安全行业进行调整、创新和改进。

众包安全的未来

据分析公司 Future Market Insights 称,全球众包安全市场将在未来几年继续增长。事实上,据估计,到 2032 年,它的价值将达到 2.43 亿美元左右。这不仅是由于私营部门的举措,还因为世界各地的政府都接受了众包安全——多个美国政府机构都有积极的漏洞赏金和漏洞披露计划,例如。 如果你想衡量网络安全行业的发展方向,这些预测当然会有用,但不需要经济学家就能弄清楚为什么企业实体正在采用众包方法来保护安全。无论您以何种方式看待问题,数字都会得到验证。另外,让一群负责且值得信赖的人每年 365 天监控您的资产是否存在漏洞可能有什么危害? 简而言之,除非软件被威胁行为者渗透的方式发生重大变化,否则我们很可能会看到众包安全程序如雨后春笋般涌现。这对开发人员、白帽黑客和消费者来说是个好消息,但对网络犯罪分子来说却是个坏消息。

防范网络犯罪的众包安全

自第一台计算机以来,网络安全就已经存在。多年来,它采用了多种形式,但目标始终如一:防止未经授权的访问和盗窃。在理想的世界中,不需要网络安全。但在现实世界中,保护自己至关重要。 以上所有内容适用于企业和个人。但是,虽然一般人只要遵循基本的安全协议就可以在网上保持相对安全,但组织需要一种包罗万象的方法来应对潜在威胁。这种方法应该主要建立在零信任安全的基础上。