एक नया सॉफ्टवेयर उत्पाद बाजार में आने से पहले, इसकी कमजोरियों के लिए परीक्षण किया जाता है। प्रत्येक जिम्मेदार कंपनी अपने ग्राहकों और खुद को साइबर खतरों से बचाने के लिए ये परीक्षण करती है।
हाल के वर्षों में, डेवलपर्स ने सुरक्षा जांच करने के लिए क्राउडसोर्सिंग पर तेजी से भरोसा किया है। लेकिन वास्तव में क्राउडसोर्स्ड सुरक्षा क्या है? यह कैसे काम करता है, और यह अन्य सामान्य जोखिम मूल्यांकन विधियों से कैसे तुलना करता है?
क्राउडसोर्स्ड सुरक्षा कैसे काम करती है
सभी आकार के संगठनों ने परंपरागत रूप से उपयोग किया है अपने सिस्टम को सुरक्षित करने के लिए पैठ परीक्षण. पेन परीक्षण अनिवार्य रूप से एक सिम्युलेटेड साइबर अटैक है जो सुरक्षा खामियों को उजागर करने के लिए है, बिल्कुल वास्तविक हमले की तरह। लेकिन एक वास्तविक हमले के विपरीत, एक बार खोजे जाने के बाद, इन कमजोरियों को दूर कर दिया जाता है। यह विचाराधीन संगठन की समग्र सुरक्षा प्रोफ़ाइल को बढ़ाता है। सरल लगता है।
लेकिन पैठ परीक्षण के साथ कुछ स्पष्ट मुद्दे हैं। यह आमतौर पर सालाना किया जाता है, जो कि पर्याप्त नहीं है, यह देखते हुए कि सभी सॉफ़्टवेयर नियमित रूप से अपडेट किए जाते हैं। दूसरे, क्योंकि साइबर सुरक्षा बाजार बल्कि संतृप्त है, पेन परीक्षण कंपनियां कभी-कभी "ढूंढती हैं" कमजोरियां जहां वास्तव में उनकी सेवाओं के लिए चार्ज करने का औचित्य साबित करने और बाहर खड़े होने के लिए कोई नहीं है उनकी प्रतियोगिता। फिर बजट संबंधी चिंताएँ भी हैं—ये सेवाएँ काफी महंगी हो सकती हैं।
क्राउडसोर्स्ड सुरक्षा पूरी तरह से अलग मॉडल पर काम करती है। यह सुरक्षा मुद्दों के लिए सॉफ्टवेयर का परीक्षण करने के लिए व्यक्तियों के एक समूह को आमंत्रित करने के इर्द-गिर्द घूमता है। क्राउडसोर्स सुरक्षा परीक्षण का उपयोग करने वाली कंपनियां अपने उत्पादों की जांच के लिए लोगों के एक समूह या जनता को निमंत्रण देती हैं। यह सीधे या तीसरे पक्ष के क्राउडसोर्सिंग प्लेटफॉर्म के माध्यम से किया जा सकता है।
हालांकि इन कार्यक्रमों में कोई भी शामिल हो सकता है, यह मुख्य रूप से है एथिकल हैकर्स (व्हाइट हैट हैकर्स) या शोधकर्ता, जैसा कि उन्हें समुदाय के भीतर कहा जाता है, जो उनमें भाग लेते हैं। और वे भाग लेते हैं क्योंकि सुरक्षा दोष की खोज के लिए आम तौर पर एक अच्छा वित्तीय पुरस्कार होता है। जाहिर है, यह प्रत्येक कंपनी पर निर्भर करता है कि वह राशि का निर्धारण करे, लेकिन यह तर्क दिया जा सकता है कि क्राउडसोर्सिंग पारंपरिक पैठ परीक्षण की तुलना में लंबे समय में सस्ता और अधिक प्रभावी है।
पेन परीक्षण और जोखिम मूल्यांकन के अन्य रूपों की तुलना में क्राउडसोर्सिंग के कई अलग-अलग फायदे हैं। शुरुआत के लिए, चाहे आप कितनी भी अच्छी पेनिट्रेशन टेस्टर फर्म को किराए पर लें, लगातार सुरक्षा कमजोरियों की तलाश कर रहे लोगों के एक बड़े समूह द्वारा उन्हें खोजे जाने की संभावना कहीं अधिक है। क्राउडसोर्सिंग का एक और स्पष्ट लाभ यह है कि इस तरह का कोई भी कार्यक्रम ओपन-एंडेड हो सकता है, जिसका अर्थ है कि यह लगातार चल सकता है, इसलिए साल भर कमजोरियों की खोज (और पैच अप) की जा सकती है।
क्राउडसोर्स्ड सुरक्षा कार्यक्रमों के 3 प्रकार
अधिकांश क्राउडसोर्स्ड सुरक्षा कार्यक्रम उन लोगों को आर्थिक रूप से पुरस्कृत करने की एक ही मूल अवधारणा के आसपास केंद्रित होते हैं जो किसी दोष या भेद्यता की खोज करते हैं, लेकिन उन्हें तीन मुख्य श्रेणियों में बांटा जा सकता है।
1. बग इनाम
वस्तुतः हर तकनीकी दिग्गज- Facebook से, Apple से, Google से- एक सक्रिय है बग बाउंटी प्रोग्राम. वे कैसे काम करते हैं यह बहुत आसान है: एक बग का पता लगाएं, और आपको एक इनाम मिलेगा। ये पुरस्कार कुछ सौ डॉलर से लेकर कुछ मिलियन तक होते हैं, इसलिए इसमें कोई आश्चर्य की बात नहीं है कि कुछ एथिकल हैकर सॉफ्टवेयर कमजोरियों की खोज में पूर्णकालिक आय अर्जित करते हैं।
2. भेद्यता प्रकटीकरण कार्यक्रम
भेद्यता प्रकटीकरण कार्यक्रम बग बाउंटी के समान हैं, लेकिन एक महत्वपूर्ण अंतर है: ये कार्यक्रम सार्वजनिक हैं। दूसरे शब्दों में, जब एक एथिकल हैकर को किसी सॉफ़्टवेयर उत्पाद में सुरक्षा दोष का पता चलता है, तो उस दोष को प्रचारित किया जाता है ताकि हर कोई जान सके कि यह क्या है। साइबर सुरक्षा फर्म अक्सर इनमें भाग लेती हैं: वे भेद्यता का पता लगाती हैं, इसके बारे में एक रिपोर्ट लिखती हैं, और डेवलपर और अंतिम उपयोगकर्ता के लिए सिफारिशें पेश करती हैं।
3. मैलवेयर क्राउडसोर्सिंग
क्या होगा यदि आप एक फ़ाइल डाउनलोड करते हैं, लेकिन सुनिश्चित नहीं हैं कि यह चलाने के लिए सुरक्षित है या नहीं? आप कैसे करते हैं जांचें कि क्या यह मैलवेयर है? यदि आप इसे पहली बार डाउनलोड करने में कामयाब रहे, तो आपका एंटीवायरस सूट इसे पहचानने में असफल रहा दुर्भावनापूर्ण, तो आप क्या कर सकते हैं VirusTotal या इसी तरह के एक ऑनलाइन स्कैनर पर जाएं और इसे अपलोड करें वहाँ। ये उपकरण दर्जनों एंटीवायरस उत्पादों को यह जांचने के लिए एकत्र करते हैं कि क्या विचाराधीन फ़ाइल हानिकारक है। यह भी क्राउडसोर्स्ड सुरक्षा का एक रूप है।
कुछ लोग तर्क देते हैं कि साइबर अपराध क्राउडसोर्स सुरक्षा का एक रूप है, यदि इसका अंतिम रूप नहीं है। इस तर्क में निश्चित रूप से योग्यता है, क्योंकि मौद्रिक लाभ और बदनामी के लिए इसका फायदा उठाने की तलाश में किसी खतरे वाले अभिनेता की तुलना में किसी को भी सिस्टम में भेद्यता खोजने के लिए अधिक प्रोत्साहित नहीं किया जाता है।
दिन के अंत में, अपराधी अनजाने में साइबर सुरक्षा उद्योग को अनुकूलन, नवाचार और सुधार करने के लिए मजबूर कर रहे हैं।
क्राउडसोर्स्ड सुरक्षा का भविष्य
एनालिटिक्स फर्म के मुताबिक फ्यूचर मार्केट इनसाइट्स, आने वाले वर्षों में वैश्विक क्राउडसोर्स सुरक्षा बाजार का विकास जारी रहेगा। वास्तव में, अनुमान कहते हैं कि यह 2032 तक लगभग 243 मिलियन डॉलर का हो जाएगा। यह केवल निजी क्षेत्र की पहलों के कारण नहीं है, बल्कि इसलिए भी है क्योंकि दुनिया भर की सरकारों ने इसे अपनाया है क्राउडसोर्स्ड सुरक्षा- कई अमेरिकी सरकारी एजेंसियों के पास सक्रिय बग बाउंटी और भेद्यता प्रकटीकरण कार्यक्रम हैं उदाहरण।
ये भविष्यवाणियां निश्चित रूप से उपयोगी हो सकती हैं यदि आप यह जानना चाहते हैं कि साइबर सुरक्षा उद्योग किस दिशा में आगे बढ़ रहा है, लेकिन यह पता लगाने के लिए एक अर्थशास्त्री की जरूरत नहीं है कि कॉरपोरेट संस्थाएं सुरक्षा के लिए क्राउडसोर्सिंग का तरीका क्यों अपना रही हैं। आप जिस भी तरह से इस मुद्दे को देखते हैं, नंबर चेक आउट करते हैं। इसके अलावा, जिम्मेदार और भरोसेमंद लोगों के एक समूह को साल में 365 दिन कमजोरियों के लिए आपकी संपत्ति की निगरानी करने में संभावित रूप से क्या नुकसान हो सकता है?
संक्षेप में, जब तक खतरे के कर्ताओं द्वारा सॉफ़्टवेयर में प्रवेश करने के तरीके में नाटकीय रूप से कुछ परिवर्तन नहीं होता है, तब तक हमें क्राउडसोर्स्ड सुरक्षा कार्यक्रमों को बाएँ और दाएँ पॉप अप होते देखने की संभावना अधिक होती है। यह डेवलपर्स, व्हाइट हैट हैकर्स और उपभोक्ताओं के लिए अच्छी खबर है, लेकिन साइबर अपराधियों के लिए बुरी खबर है।
साइबर अपराध से बचाव के लिए क्राउडसोर्सिंग सुरक्षा
साइबर सुरक्षा पहले कंप्यूटर के आसपास रही है। इसने वर्षों में कई रूप धारण किए हैं, लेकिन लक्ष्य हमेशा एक ही रहा है: अनधिकृत पहुंच और चोरी से बचाव करना। एक आदर्श दुनिया में, साइबर सुरक्षा की कोई आवश्यकता नहीं होगी। लेकिन वास्तविक दुनिया में, अपनी रक्षा करने से ही फर्क पड़ता है।
उपरोक्त सभी व्यवसायों और व्यक्तियों दोनों पर लागू होता है। लेकिन जब तक औसत व्यक्ति बुनियादी सुरक्षा प्रोटोकॉल का पालन करते हुए अपेक्षाकृत ऑनलाइन सुरक्षित रह सकता है, तब तक संगठनों को संभावित खतरों के लिए एक व्यापक दृष्टिकोण की आवश्यकता होती है। ऐसा दृष्टिकोण प्राथमिक रूप से जीरो ट्रस्ट सुरक्षा पर आधारित होना चाहिए।
