CROWDSOURCED SECURITY LÀ GÌ
Về cơ bản, đây là hình thức mở rộng hơn của kiểm thử bảo mật truyền thống (pentest) ở khía cạnh nhân lực. So với việc chỉ có 1 Pentester (người thực hiện pentest) với một kĩ năng chuyên biệt, một phương pháp và một quan điểm về mọi thứ thì giờ đây có cả một cộng đồng có thể phát huy được những điểm mạnh và hạn chế các điểm yếu mà trước đây hình thức kiểm thử bảo mật truyền thống gặp phải.
Crowdsourced nghĩa là sử dụng nguồn lực của đám đông (crowd), vậy Crowdsourced Security (hay Bảo Mật Cộng Đồng) là một phương pháp bảo mật dựa vào cộng đồng các chuyên gia bảo mật tại khắp mọi nơi. Khác với phương pháp bảo mật cũ (tức là thuê 1 đội ngũ Pentester bên ngoài chỉ gồm 2-5 người), Crowdsourced Security giúp doanh nghiệp có được sự phục vụ của hàng trăm chuyên gia bảo mật khác nhau, từ đó tìm kiếm lỗ hổng bảo mật trên hệ thống Website, Mobile app hiệu quả và nhanh chóng hơn.
Giờ đây thay vì một chuyên gia kiểm thử, bạn có hàng chục hoặc hàng trăm chuyên gia cùng tìm lỗ hổng cho website của mình. Đó là điểm mạnh của mô hình Crowdsourcing trong bảo mật.
Chi phí cho sử dụng Crowdsourced Security là bao nhiêu?
Không có một bảng giá niêm yết cụ thể đối với dạng dịch vụ này. Mức giá sẽ khác nhau tùy thuộc vào yêu cầu công việc cũng như kỹ năng và kinh nghiệm của các chuyên gia. Tuy nhiên đối với một công việc không quá phức tạp kéo dài trong độ vài tuần thì được biết mức giá sẽ dao động từ dưới một ngàn tới chục ngàn đô la. Đối với các đầu việc khó, yêu cầu kỹ năng chuyên môn và kéo dài nhiều tuần đến vài tháng, thì mức giá có thể lên tới hàng chục ngàn đô la. Tuy nhiên, mức giá sử dụng dịch vụ Crowdsourced Security này đã rẻ hơn rất nhiều so với các dịch vụ bảo mật truyền thống.
Chọn đối tác crowdsourced Security như thế nào?
Đầu tiên, hãy quyết định loại dịch vụ bạn cần, tần suất, cũng như số tiền bạn có thể chi trả. Quyết định xem mô hình crowdsourcing có phù hợp với chiến lược quản lý rủi ro của bạn không?
Nếu có, hãy xem xét một công ty cung cấp dịch vụ crowdsourcing có thể quản lý quy trình và loại bỏ phần lớn rủi ro. Sau đó liên hệ với một hoặc nhiều công ty dạng này để biết thêm chi tiết về các dịch vụ, nền tảng, phí và quy trình quản lý chuyên nghiệp của họ. Phần lớn giá trị của mỗi tổ chức nằm trong nền tảng, quy trình và cách họ kiểm tra, cũng như phân bổ các chuyên gia thực hiện nhiệm vụ.