Cos’è la sicurezza in crowdsourcing?

Prima che un nuovo prodotto software venga rilasciato sul mercato, viene testato per verificarne le vulnerabilità. Ogni azienda responsabile esegue questi test per proteggere sia i propri clienti che se stessa dalle minacce informatiche.

Negli ultimi anni, gli sviluppatori si sono affidati sempre più al crowdsourcing per condurre test di sicurezza. Ma cos’è esattamente la sicurezza in crowdsourcing? Come funziona e in cosa differisce dagli altri metodi più diffusi di valutazione del rischio?

Come funziona la sicurezza in crowdsourcing

Le organizzazioni di tutte le dimensioni utilizzano tradizionalmente i test di penetrazione per proteggere i propri sistemi. Un Pentest è essenzialmente un attacco informatico simulato che mette in luce falle di sicurezza, proprio come un vero attacco. Ma a differenza di un attacco reale, una volta rilevate, queste vulnerabilità vengono corrette. Ciò rafforza il profilo di sicurezza generale dell’organizzazione in questione. Sembra semplice, vero?

Ma ci sono alcuni problemi con i test di penetrazione. Di solito viene eseguita solo una volta all'anno, il che semplicemente non è sufficiente, poiché tutto il software viene aggiornato regolarmente. In secondo luogo, poiché il mercato della sicurezza informatica è piuttosto saturo, le aziende pentesting a volte “trovano” vulnerabilità che in realtà non esistono per giustificare il pagamento dei loro servizi e distinguersi dalla concorrenza. Ci sono anche preoccupazioni di bilancio: questi servizi possono essere piuttosto costosi.

Crowdsourced Security opera su un modello completamente diverso. Ruota attorno all'invito a un gruppo di persone a testare il software per problemi di sicurezza. Le aziende che utilizzano Crowdsourced Security estendono inviti a un gruppo di persone o al pubblico in generale per testare i loro prodotti. Questo può essere fatto direttamente o tramite una piattaforma di crowdsourcing di terze parti.

Sebbene chiunque possa partecipare a questi programmi, il pubblico target principale saranno gli hacker o i ricercatori white hat. Spesso è prevista una sostanziosa ricompensa finanziaria per la scoperta di una vulnerabilità della sicurezza. Ovviamente, la determinazione dell’importo spetta alla singola azienda, ma il crowdsourcing è più economico e più efficace nel lungo periodo rispetto ai tradizionali penetration test.

Rispetto al pentesting e ad altre forme di valutazione del rischio, il crowdsourcing presenta diversi vantaggi. In primo luogo, non importa quanto sia valida la società di test di penetrazione che assumi, un folto gruppo di persone sempre alla ricerca di vulnerabilità di sicurezza avrà maggiori probabilità di scoprirle. Un altro ovvio vantaggio del crowdsourcing è che qualsiasi programma di questo tipo è a tempo indeterminato, il che significa che può essere eseguito continuamente, quindi le vulnerabilità possono essere rilevate (e corrette) tutto l'anno.

3 tipi di programmi di sicurezza in crowdsourcing

La maggior parte dei programmi di sicurezza in crowdsourcing si concentrano sullo stesso concetto di base di ricompensare finanziariamente gli scopritori di vulnerabilità, ma possono essere raggruppati in tre categorie principali.

1. Ricevi bonus quando vengono scoperti bug

Quasi tutti i giganti della tecnologia – da Facebook ad Apple a Google – hanno un programma di bug bounty attivo. Il modo in cui funzionano è abbastanza semplice: individua un bug e riceverai una ricompensa. Queste ricompense vanno da poche centinaia a qualche milione di dollari, quindi non sorprende che alcuni hacker white hat guadagnino un reddito a tempo pieno dalla scoperta delle vulnerabilità del software.

2. Programma di divulgazione delle vulnerabilità

I programmi di divulgazione delle vulnerabilità sono molto simili al gruppo precedente, ma con una differenza fondamentale: questi programmi sono pubblici. In altre parole, quando un hacker white hat scopre una falla nella sicurezza di un prodotto software, quella falla verrà resa pubblica affinché tutti possano conoscerla. Le aziende di sicurezza informatica spesso si impegnano in queste attività: scoprono vulnerabilità, scrivono report su di esse e forniscono consigli agli sviluppatori e agli utenti finali.

3. Crowdsourcing di malware

Cosa succede se scarichi un file ma non sei sicuro che sia sicuro da eseguire? Come controlli se si tratta di malware? La tua suite antivirus potrebbe non riconoscerlo come dannoso, quindi quello che puoi fare è andare su VirusTotal o uno scanner antivirus online simile e caricare lì il file. Questi strumenti sintetizzano decine di prodotti antivirus per verificare se il file in questione è dannoso o meno. Anche questa è una forma di sicurezza in crowdsourcing.

Alcune persone credono che il crimine informatico sia una forma di sicurezza in crowdsourcing. Questo argomento ha senso, perché nessuno è più motivato a trovare le vulnerabilità in un sistema di un attore di minacce che cerca di sfruttarlo per denaro e fama. Dopotutto, sono i criminali a forzare involontariamente il settore della sicurezza informatica ad adattarsi, innovare e migliorare.

Il futuro della sicurezza in crowdsourcing

Secondo la società di analisi Future Market Insights, il mercato globale della sicurezza continuerà a crescere nei prossimi anni. In effetti, le stime dicono che varrà circa 243 milioni di dollari entro il 2032. Ciò non è solo grazie alle iniziative del settore privato, ma anche perché i governi di tutto il mondo hanno adottato misure di sicurezza in crowdsourcing.

Queste previsioni possono certamente essere utili se si vuole valutare in quale direzione sta andando il settore della sicurezza informatica, ma non ci vuole un economista per capire perché le organizzazioni aziendali stanno adottando questo approccio di crowdsourcing per scopi di sicurezza. Non importa come lo guardi, i numeri contano. Inoltre, che danno potrebbe esserci nell'avere un team di persone responsabili e affidabili che monitorano le vulnerabilità delle vostre risorse 365 giorni all'anno?

In breve, a meno che qualcosa non cambi radicalmente nel modo in cui il software viene compromesso dagli autori delle minacce, è più probabile che vedremo apparire programmi di sicurezza in crowdsourcing in entrambi i lati. Questa è una buona notizia per sviluppatori, hacker white hat e consumatori, ma una cattiva notizia per i criminali informatici.