Crowdsourced Security là gì?

Trước khi một sản phẩm phần mềm mới được tung ra thị trường, nó sẽ được kiểm tra các lỗ hổng. Mọi công ty có trách nhiệm đều thực hiện các thử nghiệm này để bảo vệ cả khách hàng và chính công ty khỏi những mối đe dọa trên mạng.

Trong những năm gần đây, các nhà phát triển ngày càng dựa nhiều vào nguồn lực cộng đồng (crowdsourcing) để tiến hành kiểm tra bảo mật. Nhưng chính xác thì Crowdsourced Security là gì? Nó hoạt động như thế nào và có gì khác với các phương pháp đánh giá rủi ro phổ biến khác?

Cách thức hoạt động của Crowdsourced Security

Các tổ chức thuộc mọi quy mô có truyền thống sử dụng kiểm thử thâm nhập để bảo mật hệ thống của họ. Pentest thực chất là một cuộc tấn công mạng mô phỏng nhằm vạch trần các lỗi bảo mật, giống như một cuộc tấn công thực sự. Nhưng không giống như trong một cuộc tấn công thực sự, khi bị phát hiện, những lỗ hổng này sẽ được vá lại. Điều này tăng cường profile bảo mật tổng thể của tổ chức được đề cập. Nghe có vẻ đơn giản, đúng không?

Nhưng có một số vấn đề với kiểm thử thâm nhập. Nó thường chỉ được thực hiện hàng năm, điều này đơn giản là không đủ, vì tất cả phần mềm đều được cập nhật thường xuyên. Thứ hai, do thị trường an ninh mạng đã khá bão hòa, các công ty pentest đôi khi "tìm" các lỗ hổng thực sự không tồn tại để biện minh cho việc tính phí dịch vụ của mình và tạo sự nổi bật so với đối thủ cạnh tranh. Ngoài ra, cũng có những quan ngại về ngân sách - những dịch vụ này có thể khá tốn kém.

Crowdsourced Security (Bảo mật cộng đồng) hoạt động trên một mô hình hoàn toàn khác. Nó xoay quanh việc mời một nhóm cá nhân kiểm tra phần mềm để tìm những vấn đề bảo mật. Các công ty sử dụng hình thức Crowdsourced Security mở rộng lời mời tới một nhóm người hoặc công chúng để thăm dò sản phẩm của họ. Điều này có thể được thực hiện trực tiếp hoặc thông qua nền tảng cung cấp dịch vụ cộng đồng của bên thứ ba.

Mặc dù bất kỳ ai cũng có thể tham gia các chương trình này, nhưng đối tượng chủ yếu sẽ là các hacker mũ trắng hoặc những nhà nghiên cứu. Thường có một giải thưởng tài chính xứng đáng cho việc phát hiện ra một lỗ hổng bảo mật. Rõ ràng, việc xác định số tiền tùy thuộc vào từng công ty, nhưng nguồn cung ứng cộng đồng rẻ và hiệu quả hơn về lâu dài so với kiểm thử thâm nhập truyền thống.

So với pentest và các hình thức đánh giá rủi ro khác, nguồn lực cộng đồng có nhiều lợi thế khác nhau. Đầu tiên, cho dù bạn thuê công ty kiểm thử thâm nhập tốt đến đâu, thì một nhóm lớn những người luôn tìm kiếm các lỗ hổng bảo mật sẽ có nhiều khả năng phát hiện ra chúng hơn. Một lợi thế rõ ràng khác của dịch vụ cộng đồng là bất kỳ chương trình nào như vậy cũng đều có thể kết thúc mở, có nghĩa là nó có thể chạy liên tục, vì vậy các lỗ hổng có thể được phát hiện (và vá) quanh năm.

3 loại chương trình Crowdsourced Security

Hầu hết các chương trình Crowdsourced Security đều tập trung vào cùng một khái niệm cơ bản là thưởng tài chính cho những người phát hiện ra lỗ hổng, nhưng chúng có thể được nhóm thành 3 loại chính.

1. Nhận tiền thưởng khi phát hiện lỗi

Hầu như mọi gã khổng lồ công nghệ - từ Facebook, Apple cho đến Google - đều có chương trình nhận tiền thưởng khi phát hiện lỗi đang hoạt động. Cách chúng hoạt động khá đơn giản: Phát hiện ra lỗi và bạn sẽ nhận được phần thưởng. Những phần thưởng này dao động từ vài trăm đến vài triệu đô la, vì vậy không có gì ngạc nhiên khi một số hacker mũ trắng kiếm được thu nhập toàn thời gian nhờ vào việc khám phá các lỗ hổng phần mềm.

2. Chương trình tiết lộ lỗ hổng

Các chương trình tiết lộ lỗ hổng rất giống với nhóm trên, nhưng có một điểm khác biệt chính: Các chương trình này là công khai. Nói cách khác, khi một hacker mũ trắng phát hiện ra một lỗ hổng bảo mật trong một sản phẩm phần mềm, lỗ hổng đó sẽ được công khai để mọi người biết đến. Các công ty an ninh mạng thường tham gia vào những hoạt động này: Họ phát hiện lỗ hổng bảo mật, viết báo cáo về lỗ hổng đó và đưa ra đề xuất cho nhà phát triển cũng như người dùng cuối.

3. Malware Crowdsourcing

Điều gì sẽ xảy ra nếu bạn tải xuống một file nhưng không chắc file đó có an toàn để chạy không? Làm cách nào để bạn kiểm tra xem đó có phải là phần mềm độc hại không? Bộ phần mềm diệt virus của bạn có thể không nhận ra nó là độc hại, vì vậy điều bạn có thể làm là truy cập VirusTotal hoặc một trình quét virus trực tuyến tương tự và upload file lên đó. Các công cụ này tổng hợp hàng chục sản phẩm diệt virus để kiểm tra xem file được đề cập có gây hại hay không. Đây cũng là một hình thức Crowdsourced Security.

Một số người cho rằng tội phạm mạng là một hình thức Crowdsourced Security. Lập luận này cũng có lý, bởi vì không ai có động lực tìm ra lỗ hổng trong hệ thống hơn là một tác nhân đe dọa đang tìm cách khai thác nó để kiếm tiền và danh tiếng. Suy cho cùng, bọn tội phạm là những kẻ vô tình buộc ngành an ninh mạng phải thích nghi, đổi mới và cải tiến.

Tương lai của Crowdsourced Security

Theo công ty phân tích Future Market Insights, thị trường bảo mật toàn cầu sẽ tiếp tục phát triển trong những năm tới. Trên thực tế, các ước tính cho biết nó sẽ trị giá khoảng 243 triệu đô la vào năm 2032. Điều này không chỉ nhờ vào những sáng kiến của khu vực tư nhân mà còn bởi vì các chính phủ trên khắp thế giới đã áp dụng biện pháp bảo mật có nguồn lực từ cộng đồng.

Những dự đoán này chắc chắn có thể hữu ích nếu bạn muốn đánh giá ngành an ninh mạng đang đi theo hướng nào, nhưng không cần một nhà kinh tế học để tìm ra lý do tại sao các tổ chức doanh nghiệp đang áp dụng phương pháp cung cấp dịch vụ cộng đồng cho mục đích bảo mật. Cho dù bạn nhìn nhận vấn đề theo cách nào, các con số đều có giá trị. Ngoài ra, điều gì có thể gây hại khi có một nhóm người có trách nhiệm và đáng tin cậy giám sát tài sản của bạn để tìm lỗ hổng 365 ngày một năm?

Nói tóm lại, trừ khi có điều gì đó thay đổi đáng kể trong cách phần mềm bị các tác nhân đe dọa xâm nhập, chúng ta có nhiều khả năng sẽ thấy những chương trình bảo mật có nguồn lực từ cộng đồng xuất hiện ở cả 2 phía. Đây là tin tốt cho các nhà phát triển, hacker mũ trắng và người tiêu dùng, nhưng lại là tin xấu cho tội phạm mạng.