Sebelum produk perangkat lunak baru menyentuh pasar, produk tersebut diuji kerentanannya. Setiap perusahaan yang bertanggung jawab melakukan tes ini, untuk melindungi pelanggan dan dirinya sendiri dari ancaman dunia maya.
Dalam beberapa tahun terakhir, pengembang semakin mengandalkan crowdsourcing untuk melakukan investigasi keamanan. Tapi apa sebenarnya keamanan crowdsourced itu? Bagaimana cara kerjanya, dan bagaimana cara membandingkannya dengan metode penilaian risiko umum lainnya?
Cara Kerja Keamanan Crowdsourced
Organisasi dari semua ukuran secara tradisional telah digunakan pengujian penetrasi untuk mengamankan sistem mereka. Pengujian pena pada dasarnya adalah serangan dunia maya yang disimulasikan yang dimaksudkan untuk mengungkap kelemahan keamanan, seperti halnya serangan nyata. Tapi tidak seperti dalam serangan nyata, setelah ditemukan, kerentanan ini ditambal. Ini meningkatkan profil keamanan keseluruhan organisasi yang bersangkutan. Kedengarannya sederhana.
Tapi ada beberapa masalah mencolok dengan pengujian penetrasi. Ini biasanya dilakukan setiap tahun, yang tidak cukup, mengingat semua perangkat lunak diperbarui secara berkala. Kedua, karena pasar keamanan siber agak jenuh, perusahaan pen testing terkadang "menemukan" kerentanan di mana sebenarnya tidak ada untuk membenarkan pengisian untuk layanan mereka dan menonjol persaingan mereka. Lalu ada juga masalah anggaran—layanan ini bisa sangat mahal.
Keamanan crowdsourced bekerja pada model yang sama sekali berbeda. Ini berkisar mengundang sekelompok individu untuk menguji perangkat lunak untuk masalah keamanan. Perusahaan yang menggunakan pengujian keamanan crowdsourced memperluas undangan ke sekelompok orang, atau publik, untuk menyelidiki produk mereka. Ini dapat dilakukan secara langsung, atau melalui platform crowdsourcing pihak ketiga.
Meskipun siapa pun dapat bergabung dengan program ini, itu terutama peretas etis (peretas topi putih) atau peneliti, begitu mereka dipanggil dalam komunitas, yang berpartisipasi di dalamnya. Dan mereka berpartisipasi karena biasanya ada penghargaan finansial yang layak untuk menemukan celah keamanan. Jelas, terserah masing-masing perusahaan untuk menentukan jumlahnya, tetapi dapat dikatakan bahwa crowdsourcing lebih murah dan lebih efektif dalam jangka panjang daripada pengujian penetrasi tradisional.
Dibandingkan dengan pengujian pena dan bentuk penilaian risiko lainnya, crowdsourcing memiliki banyak keuntungan berbeda. Sebagai permulaan, tidak peduli seberapa bagus perusahaan penguji penetrasi yang Anda pekerjakan, sekelompok besar orang yang secara konsisten mencari kerentanan keamanan jauh lebih mungkin untuk menemukannya. Keuntungan lain yang jelas dari crowdsourcing adalah bahwa program semacam itu dapat bersifat terbuka, yang berarti dapat berjalan terus-menerus, sehingga kerentanan dapat ditemukan (dan diperbaiki) sepanjang tahun.
3 Jenis Program Keamanan Crowdsourced
Sebagian besar program keamanan crowdsourced berpusat pada konsep dasar yang sama yaitu memberi penghargaan finansial kepada mereka yang menemukan kelemahan atau kerentanan, tetapi mereka dapat dikelompokkan ke dalam tiga kategori utama.
1. Hadiah Bug
Hampir setiap raksasa teknologi — dari Facebook, melalui Apple, hingga Google — memiliki aktivitas program hadiah bug. Cara kerjanya cukup sederhana: temukan bug, dan Anda akan menerima hadiah. Imbalan ini berkisar dari beberapa ratus dolar hingga beberapa juta, jadi tidak heran beberapa peretas etis mendapatkan penghasilan penuh waktu dengan menemukan kerentanan perangkat lunak.
2. Program Pengungkapan Kerentanan
Program pengungkapan kerentanan sangat mirip dengan hadiah bug, tetapi ada satu perbedaan utama: program ini bersifat publik. Dengan kata lain, ketika seorang peretas etis menemukan kelemahan keamanan dalam produk perangkat lunak, kelemahan itu dipublikasikan sehingga semua orang tahu apa itu. Perusahaan keamanan siber sering berpartisipasi dalam hal ini: mereka menemukan kerentanan, menulis laporan tentangnya, dan menawarkan rekomendasi untuk pengembang dan pengguna akhir.
3. Crowdsourcing Malware
Bagaimana jika Anda mengunduh file, tetapi tidak yakin aman untuk dijalankan? Apa kabar periksa apakah itu malware? Jika Anda berhasil mengunduhnya sejak awal, suite antivirus Anda gagal mengenalinya berbahaya, jadi yang dapat Anda lakukan adalah membuka VirusTotal atau pemindai daring serupa dan mengunggahnya di sana. Alat-alat ini menggabungkan lusinan produk antivirus untuk memeriksa apakah file tersebut berbahaya. Ini juga merupakan bentuk keamanan crowdsourced.
Beberapa berpendapat kejahatan dunia maya adalah bentuk keamanan crowdsourced, jika bukan bentuk akhirnya. Argumen ini tentu saja bermanfaat, karena tidak ada yang lebih terdorong untuk menemukan kerentanan dalam suatu sistem daripada aktor ancaman yang ingin mengeksploitasinya untuk keuntungan uang dan ketenaran.
Pada akhirnya, penjahatlah yang secara tidak sengaja memaksa industri keamanan siber untuk beradaptasi, berinovasi, dan berkembang.
Masa Depan Keamanan Crowdsourced
Menurut perusahaan analitik Wawasan Pasar Masa Depan, pasar keamanan crowdsourced global akan terus tumbuh di tahun-tahun mendatang. Faktanya, perkiraan mengatakan itu akan bernilai sekitar $243 juta pada tahun 2032. Ini bukan hanya karena inisiatif sektor swasta, tetapi juga karena pemerintah di seluruh dunia telah merangkul keamanan crowdsourced—beberapa lembaga pemerintah AS memiliki program bug bounty dan pengungkapan kerentanan aktif, untuk contoh.
Prediksi ini tentunya dapat berguna jika Anda ingin mengukur ke arah mana industri keamanan siber bergerak, tetapi tidak perlu seorang ekonom untuk mencari tahu mengapa entitas perusahaan mengadopsi pendekatan crowdsourcing untuk keamanan. Bagaimanapun cara Anda melihat masalahnya, angka-angkanya akan diperiksa. Selain itu, apa salahnya memiliki sekelompok orang yang bertanggung jawab dan dapat dipercaya memantau aset Anda untuk kerentanan 365 hari setahun?
Singkatnya, kecuali ada sesuatu yang secara dramatis mengubah cara perangkat lunak ditembus oleh pelaku ancaman, kita kemungkinan besar akan melihat program keamanan crowdsourced bermunculan dari kiri dan kanan. Ini adalah kabar baik bagi pengembang, peretas topi putih, dan konsumen, tetapi kabar buruk bagi penjahat dunia maya.
Keamanan Crowdsourcing untuk Melindungi dari Kejahatan Dunia Maya
Cybersecurity telah ada sejak komputer pertama. Ini telah mengambil banyak bentuk selama bertahun-tahun, tetapi tujuannya selalu sama: untuk melindungi dari akses dan pencurian yang tidak sah. Di dunia yang ideal, keamanan siber tidak diperlukan. Tapi di dunia nyata, melindungi diri sendiri membuat semua perbedaan.
Semua hal di atas berlaku untuk bisnis dan individu. Tetapi sementara rata-rata orang dapat tetap relatif aman saat online selama mereka mengikuti protokol keamanan dasar, organisasi memerlukan pendekatan menyeluruh terhadap potensi ancaman. Pendekatan semacam itu terutama harus didasarkan pada keamanan tanpa kepercayaan.
