Yeni bir yazılım ürünü piyasaya sürülmeden önce güvenlik açıklarına karşı test edilir. Sorumlu her şirket, hem müşterilerini hem de kendisini siber tehditlerden korumak için bu testleri gerçekleştirir.
Son yıllarda geliştiriciler, güvenlik testlerini yürütmek için kitle kaynak kullanımına giderek daha fazla güveniyorlar. Peki Kitle Kaynaklı Güvenlik tam olarak nedir? Nasıl çalışır ve diğer popüler risk değerlendirme yöntemlerinden farkı nedir?
Kitle Kaynaklı Güvenlik nasıl çalışır?
Her büyüklükteki kuruluş, sistemlerini güvence altına almak için geleneksel olarak sızma testini kullanmıştır . Pentest aslında tıpkı gerçek bir saldırı gibi güvenlik açıklarını ortaya çıkaran simüle edilmiş bir siber saldırıdır. Ancak gerçek bir saldırının aksine, bu güvenlik açıkları bir kez tespit edildiğinde yamanır. Bu, söz konusu kuruluşun genel güvenlik profilini güçlendirir. Kulağa basit geliyor, değil mi?
Ancak penetrasyon testlerinde bazı sorunlar var. Bu genellikle yalnızca yıllık olarak yapılır ve tüm yazılımlar düzenli olarak güncellendiğinden bu yeterli değildir. İkincisi, siber güvenlik pazarı oldukça doymuş olduğundan, sızma testi yapan şirketler bazen hizmetlerinin ücretlendirilmesini haklı çıkarmak ve rakip rakiplerden öne çıkmak için gerçekte var olmayan güvenlik açıklarını "bulurlar". Bütçeyle ilgili kaygılar da var; bu hizmetler oldukça pahalı olabilir.
Kitle Kaynaklı Güvenlik tamamen farklı bir model üzerinde çalışmaktadır. Bir grup kişiyi yazılımı güvenlik sorunları açısından test etmeye davet etme etrafında döner. Kitle Kaynaklı Güvenlik kullanan şirketler, ürünlerini test etmeleri için bir grup kişiye veya genel halka davetiye gönderir. Bu doğrudan veya üçüncü taraf bir kitle kaynak platformu aracılığıyla yapılabilir.
Bu programlara herkes katılabilse de asıl hedef kitle beyaz şapkalı hackerlar veya araştırmacılar olacaktır. Bir güvenlik açığını keşfetmenin genellikle önemli bir mali ödülü vardır. Açıkçası, miktarın belirlenmesi bireysel şirkete bağlıdır, ancak kitle kaynak kullanımı uzun vadede geleneksel penetrasyon testinden daha ucuz ve daha etkilidir.
Pentest ve diğer risk değerlendirme biçimleriyle karşılaştırıldığında kitle kaynak kullanımının çeşitli avantajları vardır. İlk olarak, ne kadar iyi bir penetrasyon testi şirketiyle çalışırsanız çalışın, her zaman güvenlik açıklarını arayan büyük bir grup insanın bunları keşfetme olasılığı daha yüksek olacaktır. Kitle kaynak kullanımının bir diğer belirgin avantajı, bu tür herhangi bir programın açık uçlu olmasıdır, yani sürekli olarak çalışabilir, böylece güvenlik açıkları yıl boyunca tespit edilebilir (ve yamalanabilir).
3 tür Kitle Kaynaklı Güvenlik programı
Kitle Kaynaklı Güvenlik programlarının çoğu, güvenlik açığı keşfedenleri mali açıdan ödüllendiren aynı temel konsepte odaklanır, ancak bunlar üç ana kategoride gruplandırılabilir.
1. Hatalar keşfedildiğinde bonuslar alın
Facebook'tan Apple'a ve Google'a kadar neredeyse her teknoloji devinin aktif bir hata ödül programı var. Çalışma şekilleri oldukça basittir: Bir hatayı tespit edin ve bir ödül kazanın. Bu ödüller birkaç yüz ila birkaç milyon dolar arasında değişmektedir, bu nedenle bazı beyaz şapkalı bilgisayar korsanlarının yazılım açıklarını keşfederek tam zamanlı bir gelir elde etmesi şaşırtıcı değildir.
2. Güvenlik açığı açıklama programı
Güvenlik açığı açıklama programları yukarıdaki gruba çok benzer ancak önemli bir farkla: Bu programlar halka açıktır. Başka bir deyişle, beyaz şapkalı bir bilgisayar korsanı bir yazılım ürününde bir güvenlik açığı keşfettiğinde, bu kusur herkesin bilmesi için kamuya açıklanacaktır. Siber güvenlik şirketleri sıklıkla şu faaliyetlerde bulunur: Güvenlik açıklarını keşfederler, bunlar hakkında raporlar yazarlar, geliştiricilere ve son kullanıcılara önerilerde bulunurlar.
3. Kötü Amaçlı Yazılım Kitle Kaynak Kullanımı
Bir dosyayı indirirseniz ancak çalıştırmanın güvenli olup olmadığından emin değilseniz ne olur? Kötü amaçlı yazılım olup olmadığını nasıl kontrol edersiniz? Virüsten koruma paketiniz bunu kötü amaçlı olarak tanımayabilir; bu nedenle VirusTotal'a veya benzer bir çevrimiçi virüs tarayıcısına gidip dosyayı oraya yüklemek mümkündür . Bu araçlar, söz konusu dosyanın zararlı olup olmadığını kontrol etmek için onlarca antivirüs ürününü sentezler. Bu aynı zamanda Kitle Kaynaklı Güvenliğin bir biçimidir.
Bazı insanlar siber suçların Kitle Kaynaklı Güvenliğin bir türü olduğuna inanıyor. Bu argüman mantıklıdır çünkü hiç kimse bir sistemdeki güvenlik açıklarını bulma konusunda, onu para ve şöhret için istismar etmeye çalışan bir tehdit aktöründen daha motive olamaz. Sonuçta siber güvenlik sektörünü farkında olmadan uyum sağlamaya, yenilik yapmaya ve geliştirmeye zorlayanlar suçlulardır.
Kitle Kaynaklı Güvenliğin Geleceği
Analiz firması Future Market Insights'a göre küresel güvenlik pazarı önümüzdeki yıllarda da büyümeye devam edecek. Aslında tahminler, 2032 yılına kadar değerinin yaklaşık 243 milyon dolar olacağını söylüyor. Bu sadece özel sektör girişimleri sayesinde değil, aynı zamanda dünya çapındaki hükümetlerin Kitle kaynaklı güvenlik önlemlerini benimsemesi sayesinde.
Siber güvenlik sektörünün hangi yöne doğru gittiğini ölçmek istiyorsanız bu tahminler kesinlikle yararlı olabilir, ancak kurumsal kuruluşların neden bu yaklaşımı benimsediğini anlamak için bir ekonomist gerekmez: güvenlik amacıyla kitle kaynak kullanımı. Neresinden bakarsanız bakın sayılar önemlidir. Ayrıca, varlıklarınızı yılın 365 günü güvenlik açıklarına karşı izleyen sorumlu ve güvenilir kişilerden oluşan bir ekibin olmasının ne gibi zararı olabilir?
Kısacası, yazılımın tehdit aktörleri tarafından ele geçirilme biçiminde önemli bir değişiklik olmadığı sürece, her iki tarafta da kitle kaynaklı güvenlik programlarının ortaya çıktığını görme olasılığımız daha yüksek. Bu, geliştiriciler, beyaz şapkalı bilgisayar korsanları ve tüketiciler için iyi bir haber, ancak siber suçlular için kötü bir haber.
Ekranın sağ köşesinde bir Windows 10 etkinleştirme bildirimi görüyor musunuz? Bu makale, Windows 10'da telif hakkı isteği bildirimini nasıl sileceğiniz konusunda size rehberlik edecektir.
Microsoft yakın zamanda Windows 10 PC kullanıcıları için Derleme 14393.222 adlı en son toplu güncelleştirmeyi yayımladı. Windows 10 için yayımlanan bu güncelleme, esas olarak kullanıcı geri bildirimlerine dayalı olarak hataları düzeltiyor ve işletim sisteminin performans deneyimini geliştiriyor.
Yerel ağınızda harici erişime ihtiyaç duyan bilgisayarlarınız var mı? Ağınız için bir kale ana bilgisayarını ağ geçidi denetleyicisi olarak kullanmak iyi bir çözüm olabilir.
Bazen eski olay günlüklerinin tamamını bir kerede silmeniz gerekebilir. Bu kılavuzda Quantrimang.com, Windows 10 Olay Görüntüleyicisi'ndeki tüm olay günlüklerini hızlı bir şekilde silmenin 3 yolunu gösterecektir.
IBM Model M gibi fiziksel bir Windows tuşu içermeyen eski bir klasik klavye kullanmayı tercih ederseniz, sık kullanmadığınız bir anahtarı ödünç alarak daha fazlasını eklemenin kolay bir yöntemi vardır.
WindowTop, Windows 10 bilgisayarlarda çalışan tüm uygulama pencerelerini ve programlarını karartma özelliğine sahip bir araçtır.Ya da pencerelerde koyu arka planlı bir arayüz kullanabilirsiniz.
Daha önceki birçok makalemizde çevrimiçi ortamda anonim kalmanın son derece önemli olduğundan bahsetmiştik. Özel bilgilerin her yıl sızdırılması, çevrimiçi güvenliği giderek daha gerekli hale getiriyor. Sanal IP adreslerini kullanmamızın nedeni de budur. Aşağıda sahte IP'ler oluşturma yöntemlerini öğreneceğiz!
Windows 8'deki dil çubuğu, masaüstü ekranında otomatik olarak görüntülemek için tasarlanmış minyatür bir dil araç çubuğudur. Ancak, birçok kişi bu dil çubuğunu görev çubuğuna gizlemek istiyor.
İnternet hızını en üst düzeye çıkarmak, ağ bağlantınızı optimize etmek için çok önemlidir. Bilgisayarları, internete hazır TV'leri, oyun konsollarını vb. kullanarak en iyi eğlence ve iş deneyimini yaşayabilirsiniz.
Kablosuz bağlantı günümüzde bir zorunluluktur ve bu nedenle dahili ağınızın güvenliğini sağlamak için kablosuz güvenlik şarttır.
