Video: Lär dig att maska av din stickning (September 2024)
När en inbrottstjuver kastar en tegel genom en juvelerares fönster och går av med beståndet, är hans vinster väsentligt mindre än juvelerarens förluster. Tjuven måste stängda föremålen under deras verkliga värde, eftersom de är "heta". Juveleraren har inte bara tappat värdet på varorna, han måste betala för ett nytt fönster. På samma sätt kan en cyber-skurk som stjäl en miljon kreditkortsnummer sälja dem för några tusen dollar; att anmäla en miljon kunder och ställa in dem med nya kort kommer att kosta kortutgivaren mycket mer.
Denna skillnad skapade en idé för Stefan Frei, forskningsdirektör vid NSS Labs. De flesta cyberattacker knäcker offerföretagets säkerhet genom att utnyttja någon typ av sårbarhet i operativsystemet eller annan programvara. Tänk om vi kunde ta det verktyget bort från skurkarna? I en detaljerad forskningsrapport uttalar Frei och kolleganalytikern Francisco Artes den djärva idén att skapa ett internationellt program för köp av sårbarhet (IVPP) som skulle betala mer för sårbarheter än vad skurkarna har råd med.
Kör numren
Olika kunskaper ger olika uppskattningar av ekonomiska förluster över hela världen på grund av internetbrott, men de sträcker sig mellan tiotals miljarder och hundratals miljarder. Frei körde siffrorna om sårbarheter som publicerades 2012 och fann att kostnaden för att köpa var och en för $ 150 000 skulle ha varit mycket lägre än den ekonomiska skada de orsakade.
Låt oss först titta på den högsta kostnaden och den lägsta avkastningen. Anta att IVPP betalade $ 150 000 för varje sårbarhet oavsett hur allvarlig eller förekomst av programvaran var och därmed undviks tio miljarder ekonomiska förluster. Kostnaden för köp är knappt 8 procent av förlusterna i detta värsta fall.
Hela en tredjedel av de utnyttjade sårbarheterna hittades dock i program av de tio bästa leverantörerna. Bara att betala för dem och acceptera en uppskattning på 100 miljarder för förluster sjunker kostnaden till 0, 3 procent av det förlorade värdet. En graderad betalningsskala baserad på svårighetsgraden skulle också minska kostnaderna. Som jämförelse konstaterar rapporten att detaljhandelsföretag i USA förväntar sig att förlora 1, 5 till 2, 0 procent av den årliga försäljningen till pilferage eller "lager krympning."
Rapporten fann också att kostnaden för att köpa alla sårbarheter under 2012 skulle ha varit cirka 0, 005 procent av USA: s BNP eller EU: s BNP, och under 0, 3 procent av de totala intäkterna för programvaruindustrin.
Säkerhetshål är här för att stanna
En del av uppsatsen granskar den aktuella situationen när det gäller programvarusårbarheter. Enkelt uttryckt, även om det var möjligt att skriva felfri programvara, skulle det inte vara lönsamt. Den stora kostnaden för ett dataöverträdelse faller på företaget som har åsidosatts, inte på leverantören av den felaktiga programvaran. I affärsmässiga termer är den kostnaden en "negativ externitet" för mjukvaruleverantören, och "vinstdrivna företag investerar inte i att eliminera negativa externa effekter."
Tänkbara användare kan tvinga problemet genom att vägra att köpa programvara från leverantörer av programvara som innehåller säkerhetshål. I praktiken är dock sårbarheter normen. Vi förväntar oss alla dem, och de kommer inte bort. Rapporten konstaterar att "det inte finns något juridiskt ansvar för programvarans kvalitet, och det är troligt att det inte kommer att ändras när som helst snart."
Forskaren som upptäcker ett nytt säkerhetshål kan tyst överlämna det till säljaren, tillkännage det offentligt eller sälja det till högstbjudande. En tidigare NSS Labs-studie rapporterade om en blomstrande återförsäljningsverksamhet för svarta marknadsförbruk. I rapporten konstateras att saker och ting skulle vara mycket värre men för att många säkerhetsforskare altruistiskt avstår från att sälja till svarta marknadsförare.
Crooks kan inte tävla
I en tillgång och efterfrågan världen kanske du tror att skurkarna bara skulle tävla med de goda killarna och bjuda mer på helt nya sårbarheter. I rapporten påpekas att samma skillnad mellan liten vinst för skurkarna och stor förlust för offren innebär att skurkarna helt enkelt inte kan tävla. De kan inte erbjuda mer än sina högsta förväntade intäkter, medan en IVPP kan betala mycket mer för att undvika kolossala förluster.
Faktum är att den betydande belöningen för nyligen hittade säkerhetshål skulle leda till fler upptäckter. En forskare vars enda potentiella belöning är en klapp på ryggen, T-shirt eller några hundra dollar är inte lika motiverad. När du tar tag i mässingsringen får du $ 150 000, det är en annorlunda historia.
Stora planer
Den fullständiga rapporten ger ett detaljerat förslag för hur ett internationellt program för inköp av sårbarheter skulle fungera. Det täcker allt från vem som skulle betala, till hur rapportering skulle hända, till hela organisationsstrukturen och mer.
Kommer det att hända? Det återstår att se. Men denna mycket genomtänkta rapport övertygar mig om att den verkligen kan fungera.
