Yeni yazılım piyasaya çıktığında güvenlik açıkları için test edilir. Bunun bir yolu kitle kaynak kullanımıdır. Ama bu güvenilir mi? Aslında güvenli mi?
Yeni bir yazılım ürünü piyasaya çıkmadan önce güvenlik açıklarına karşı test edilir. Sorumluluk sahibi her firma, hem müşterilerini hem de kendisini siber tehditlerden korumak için bu testleri yapmaktadır.
Son yıllarda geliştiriciler, güvenlik soruşturmaları yürütmek için kitle kaynak kullanımına giderek daha fazla güvenmektedir. Ancak kitle kaynaklı güvenlik tam olarak nedir? Nasıl çalışır ve diğer yaygın risk değerlendirme yöntemleriyle nasıl karşılaştırılır?
Kitle Kaynaklı Güvenlik Nasıl Çalışır?
Her büyüklükteki kuruluş, sistemlerini güvence altına almak için geleneksel olarak sızma testinden yararlanır . Kalem testi, temelde, tıpkı gerçek bir saldırı gibi güvenlik açıklarını ortaya çıkarmak için tasarlanmış simüle edilmiş bir siber saldırıdır. Ancak gerçek bir saldırıdan farklı olarak, bir kez keşfedildiğinde bu güvenlik açıkları düzeltilir. Bu, söz konusu kuruluşun genel güvenlik profilini artırır. Kulağa basit geliyor.
Ancak penetrasyon testiyle ilgili bazı göze batan sorunlar var. Genellikle yıllık olarak gerçekleştirilir ve bu, tüm yazılımların düzenli olarak güncellenmesi göz önüne alındığında yeterli değildir. İkincisi, siber güvenlik pazarı oldukça doymuş olduğundan, kalem testi şirketleri bazen hizmetleri için ücret talep etmeyi haklı çıkarmak ve rekabette öne çıkmak için gerçekten hiç olmayan güvenlik açıklarını "bulur". Ayrıca bütçeyle ilgili kaygılar da vardır; bu hizmetler oldukça maliyetli olabilir.
Kitle kaynaklı güvenlik tamamen farklı bir model üzerinde çalışır. Bir grup kişiyi güvenlik sorunları için yazılımı test etmeye davet etme etrafında döner. Kitle kaynaklı güvenlik testi kullanan şirketler, ürünlerini incelemeleri için bir grup insanı veya genel olarak halkı davet eder. Bu, doğrudan veya üçüncü taraf bir kitle kaynak platformu aracılığıyla yapılabilir.
Bu programlara herkes katılabilse de, bunlara katılanlar öncelikle etik korsanlar (beyaz şapka bilgisayar korsanları) veya topluluk içinde adlandırıldıkları şekliyle araştırmacılardır. Ve katılıyorlar çünkü genellikle bir güvenlik kusurunu keşfettikleri için makul bir mali ödül var. Açıkçası, meblağları belirlemek her şirkete kalmıştır, ancak kitle kaynak kullanımının geleneksel penetrasyon testinden daha ucuz ve uzun vadede daha etkili olduğu tartışılabilir.
Kalem testi ve diğer risk değerlendirmesi biçimleriyle karşılaştırıldığında, kitle kaynak kullanımının birçok farklı avantajı vardır. Başlangıç olarak, ne kadar iyi bir penetrasyon test firması tutarsanız işe alın, sürekli olarak güvenlik açıklarını arayan büyük bir grup insanın bunları keşfetme olasılığı çok daha yüksektir. Kitle kaynak kullanımının bir diğer bariz avantajı, bu tür herhangi bir programın açık uçlu olabilmesidir, yani sürekli olarak çalışabilir, böylece güvenlik açıkları tüm yıl boyunca keşfedilebilir (ve düzeltilebilir).
3 Tür Kitle Kaynaklı Güvenlik Programı
Kitle kaynaklı güvenlik programlarının çoğu, bir kusur veya güvenlik açığı keşfedenleri finansal olarak ödüllendiren aynı temel kavram etrafında toplanır, ancak bunlar üç ana kategoride gruplandırılabilir.
1. Hata Ödülleri
Facebook'tan Apple üzerinden Google'a kadar neredeyse her teknoloji devinin aktif bir hata ödül programı vardır . Nasıl çalıştıkları oldukça basit: Bir hatayı keşfedin ve bir ödül alacaksınız. Bu ödüller birkaç yüz dolardan birkaç milyona kadar değişiyor, bu nedenle bazı etik korsanların yazılım açıklarını keşfederek tam zamanlı gelir elde etmelerine şaşmamalı.
2. Güvenlik Açığı İfşa Programları
Güvenlik açığı açıklama programları, hata ödüllerine çok benzer, ancak önemli bir fark vardır: bu programlar herkese açıktır. Başka bir deyişle, etik bir bilgisayar korsanı bir yazılım ürününde bir güvenlik açığı keşfettiğinde, bu kusur herkesin ne olduğunu bilmesi için halka duyurulur. Siber güvenlik firmaları genellikle bunlara katılır: bir güvenlik açığını tespit eder, bununla ilgili bir rapor yazar ve geliştirici ile son kullanıcı için öneriler sunar.
3. Kötü Amaçlı Kitle Kaynak Kullanımı
Ya bir dosya indirirseniz, ancak çalıştırmanın güvenli olup olmadığından emin değilseniz? Kötü amaçlı yazılım olup olmadığını nasıl kontrol edersiniz ? İlk etapta indirmeyi başardıysanız, virüsten koruma paketiniz onu kötü amaçlı olarak tanıyamadı, bu nedenle yapabileceğiniz şey VirusTotal'a veya benzer bir çevrimiçi tarayıcıya gidip onu oraya yüklemek. Bu araçlar, söz konusu dosyanın zararlı olup olmadığını kontrol etmek için düzinelerce antivirüs ürününü bir araya getirir. Bu da kitle kaynaklı bir güvenlik biçimidir.
Bazıları, siber suçun nihai biçimi olmasa da kitle kaynaklı bir güvenlik biçimi olduğunu iddia ediyor. Bu argüman kesinlikle haklıdır, çünkü hiç kimse bir sistemdeki bir güvenlik açığını bulmaya, onu parasal kazanç ve kötü şöhret için kullanmak isteyen bir tehdit aktörü kadar teşvik edemez.
Günün sonunda, siber güvenlik endüstrisini farkında olmadan uyum sağlamaya, yenilik yapmaya ve gelişmeye zorlayan suçlulardır.
Kitle Kaynaklı Güvenliğin Geleceği
Analitik şirketi Future Market Insights'a göre, küresel kitle kaynaklı güvenlik pazarı önümüzdeki yıllarda büyümeye devam edecek. Aslında tahminler, 2032 yılına kadar yaklaşık 243 milyon dolar değerinde olacağını söylüyor. Bunun nedeni yalnızca özel sektör girişimleri değil, aynı zamanda dünyanın dört bir yanındaki hükümetlerin kitle kaynaklı güvenliği benimsemiş olmalarıdır; örneğin.
Siber güvenlik endüstrisinin hangi yönde ilerlediğini ölçmek istiyorsanız bu tahminler kesinlikle yararlı olabilir, ancak kurumsal varlıkların neden güvenliğe kitle kaynaklı bir yaklaşım benimsediğini anlamak için bir ekonomist gerekmez. Konuya nereden bakarsanız bakın, rakamlar kontrol ediliyor. Ayrıca, bir grup sorumlu ve güvenilir kişinin varlıklarınızı yılın 365 günü güvenlik açıklarına karşı izlemesinin ne zararı olabilir?
Kısacası, yazılımın tehdit aktörleri tarafından sızma biçiminde önemli bir değişiklik olmadıkça, kitle kaynaklı güvenlik programlarının sağda ve solda ortaya çıktığını görmemiz çok daha olasıdır. Bu, geliştiriciler, beyaz şapkalı bilgisayar korsanları ve tüketiciler için iyi bir haber, ancak siber suçlular için kötü bir haber.
Siber Suçlara Karşı Koruma İçin Kitle Kaynak Kullanımı Güvenliği
Siber güvenlik ilk bilgisayardan beri var. Yıllar boyunca pek çok biçim aldı, ancak amaç her zaman aynıydı: yetkisiz erişime ve hırsızlığa karşı koruma. İdeal bir dünyada, siber güvenliğe ihtiyaç olmazdı. Ama gerçek dünyada, kendini korumak her şeyi değiştirir.
Yukarıdakilerin tümü hem işletmeler hem de bireyler için geçerlidir. Ancak ortalama bir kişi, temel güvenlik protokollerini takip ettiği sürece çevrimiçi olarak nispeten güvende kalabilirken, kuruluşların potansiyel tehditlere karşı her şeyi kapsayan bir yaklaşıma ihtiyacı vardır. Böyle bir yaklaşım öncelikle sıfır güven güvenliği üzerine kurulmalıdır.
