Video: Week 5, continued (Oktober 2024)
Når en indbrudstyv kaster en mursten gennem en guldsmedvindue og tager ud med bestanden, er hans gevinster væsentligt mindre end juvelerens tab. Tyven bliver nødt til at hegn elementerne under deres faktiske værdi, da de er "varme". Guldsmeden har ikke kun mistet varens værdi, han er nødt til at betale for et nyt vindue. På samme måde kan en cyber-skurken, der stjæler en million kreditkortnumre, sælge dem for et par tusinde dollars; at give en million kunder besked og indstille dem med nye kort koster kortudstederen meget mere.
Denne forskellighed udløste en idé for Stefan Frei, forskningsdirektør ved NSS Labs. De fleste cyberangreb knækker offerets virksomheds sikkerhed ved at udnytte en form for sårbarhed i operativsystemet eller anden software. Hvad hvis vi kunne tage det værktøj væk fra skurkerne? I et detaljeret forskningsdokument udtaler Frei og kollegaanalytikeren Francisco Artes den dristige idé om at oprette et internationalt program for køb af sårbarhed (IVPP), der ville betale mere for sårbarheder end skurkerne har råd til.
Kører numrene
Forskellige forståselskaber tilbyder forskellige estimater af økonomiske tab over hele verden på grund af cyberkriminalitet, men de spænder mellem titusinder af milliarder og hundreder af milliarder. Frei kørte antallet af sårbarheder, der blev offentliggjort i 2012 og fandt, at omkostningerne til at købe hver for $ 150.000 ville have været langt lavere end mængden af økonomisk skade, de har forårsaget.
Lad os først se på de højeste omkostninger og det laveste afkast. Antag, at IVPP betalte $ 150.000 for enhver sårbarhed uanset alvorlighed eller forekomst af den involverede software og dermed undgik ti milliarder i økonomiske tab. Omkostningerne ved køb er knap 8 procent af tabene i dette værste tilfælde.
Dog blev en tredjedel af de udnyttede sårbarheder fundet i programmer af de ti største leverandører. Bare at betale for dem og acceptere et skøn på 100 milliarder for tab, går omkostningerne ned til 0, 3 procent af den tabte værdi. En gradueret betalingsskala baseret på sværhedsgrad ville også reducere omkostningerne. Som sammenligning bemærker rapporten, at detailvirksomheder i USA forventer at miste 1, 5 til 2, 0 procent af det årlige salg til pilferage eller "lagerindskrænkning."
Rapporten fandt også, at omkostningerne ved at købe alle sårbarheder i 2012 ville have været omkring 0, 005 procent af det amerikanske BNP eller EU's BNP og under 0, 3 procent af den samlede indtægt for softwareindustrien.
Sikkerhedshuller er her for at blive
En del af papiret gennemgår den aktuelle situation med hensyn til softwaresårbarheder. Kort sagt, selvom det var muligt at skrive fejlfri software, ville det ikke være rentabelt. De store omkostninger ved en dataovertrædelse falder på det firma, der blev overtrådt, ikke på leverandøren af den mangelfulde software. I forretningsmæssige vilkår er disse omkostninger en "negativ eksternalitet" for softwareleverandøren, og "overskudsdrevne virksomheder investerer ikke i at eliminere negative eksternaliteter."
Brugere kunne tænkes at tvinge problemet ved at nægte at købe software fra leverandører af software, der indeholder sikkerhedshuller. I praksis er sårbarheder imidlertid normen. Vi forventer dem alle, og de går ikke væk. Rapporten bemærker, at "der ikke er noget juridisk ansvar for kvaliteten af softwaren, og dette vil sandsynligvis ikke ændre sig snart."
Forskeren, der opdager et nyt sikkerhedshul, kan stille stille det forelægge for sælgeren, meddele det offentligt eller sælge det til den højeste byder. En tidligere NSS Labs-undersøgelse rapporterede om en blomstrende videresalgsvirksomhed for udnyttelse af det sorte marked. Rapporten bemærker, at tingene ville være meget værre, men for det faktum, at mange sikkerhedsforskere altruistisk afstår fra at sælge til sorte marketingfolk.
Crooks kan ikke konkurrere
I en udbud og efterspørgselsverden kan du måske tro, at skurkerne bare ville konkurrere med de gode fyre og byde mere på splinternye sårbarheder. Rapporten påpeger, at den samme forskel mellem lille gevinst for skurke og stort tab for ofrene betyder, at skurkerne simpelthen ikke kan konkurrere. De kan ikke tilbyde mere end deres maksimale forventede indtægt, mens en IVPP kunne betale meget mere for at undgå kolossale tab.
Faktisk vil den betydelige belønning for ny fundne sikkerhedshuller sandsynligvis føre til flere opdagelser. En forsker, hvis eneste potentielle belønning er et klap på ryggen, T-shirt eller et par hundrede dollars, er ikke lige så motiveret. Når du griber ind i messingringen får du $ 150.000, det er en anden historie.
Store planer
Den fulde rapport indeholder et detaljeret forslag til, hvordan et internationalt program for indkøb af sårbarheder ville fungere. Det dækker alt fra, hvem der ville betale, til hvordan rapportering ville ske, til den fulde organisationsstruktur med mere.
Vil det ske? Det gjenstår at se. Men denne meget grundigt gennemtænkte rapport overbeviser mig om, at den virkelig kunne fungere.
