Видео: 1 ÑÑÐµÐ¿ÐµÐ½Ñ Ð½Ð° 430-2/4500дмг/6000+ (Ñ 2) (Ноември 2024)
Когато грабителят хвърли тухла през прозореца на бижутер и потегли със запасите, печалбите му са значително по-малки от загубите на бижутера. Крадецът ще трябва да огради предметите под действителната им стойност, тъй като те са "горещи". Бижутерът не само е загубил стойността на стоката, той трябва да плати за нов прозорец. По същия начин, кибер-мошеник, който открадне милион номера на кредитни карти, може да ги продаде за няколко хиляди долара; уведомяването на милион клиенти и настройването им с нови карти ще струва на издателя на карти значително повече.
Това несъответствие породи идея за Стефан Фрей, вицепрезидент по научните изследвания в NSS Labs. Повечето кибератаки разбиват сигурността на жертвата чрез експлоатация на някакъв вид уязвимост в операционната система или друг софтуер. Ами ако успеем да отнесем този инструмент от мошениците? В подробен изследователски документ Фрей и колегата му анализатор Франсиско Артес разказват смелата идея за създаване на Международна програма за закупуване на уязвимост (IVPP), която да плаща повече за уязвимости, отколкото мошениците могат да си позволят.
Изпълнение на числата
Различните специалисти предлагат различни оценки на финансови загуби в световен мащаб поради киберпрестъпност, но те варират между десетки милиони и стотици милиарди. Фрей провери броя на уязвимостите, публикувани през 2012 г. и установи, че разходите за закупуване на всяка за 150 000 долара биха били значително по-ниски от размера на финансовите щети, които са причинили.
Първо, нека да разгледаме най-високата цена и най-ниската възвръщаемост. Да предположим, че IVPP плати 150 000 долара за всяка уязвимост, независимо от тежестта или разпространението на софтуера, който участва, и по този начин избегна десет милиарда финансови загуби. Цената на покупката е малко под 8 процента от загубите при този най-лош сценарий.
Въпреки това, напълно една трета от експлоатираните уязвимости бяха открити в програми от десетте най-добри доставчици. Само плащането за тях и приемането на прогноза за 100 милиарда за загуби, разходите намаляват до 0, 3 процента от загубената стойност. Постепенната степен на плащане въз основа на тежестта също би намалила разходите. За сравнение докладът отбелязва, че компаниите на дребно в САЩ очакват да загубят 1, 5 до 2, 0% от годишните продажби на кражба или „свиване на инвентара“.
Докладът също така установява, че разходите за закупуване на всички уязвими места през 2012 г. биха били около 0, 005 процента от БВП на САЩ или от БВП на Европейския съюз и под 0, 3 процента от общите приходи за софтуерната индустрия.
Дупките за сигурност са тук, за да останат
Част от статията разглежда настоящата ситуация по отношение на уязвимостта на софтуера. Казано по-просто, дори ако беше възможно да се напише безпроблемен софтуер, това няма да е изгодно. Голямата цена на нарушение на данните пада върху компанията, която беше нарушена, а не върху доставчика на дефектния софтуер. В бизнес отношение тази цена е „отрицателна външност“ за доставчика на софтуер и „бизнеса, управляван от печалби, не инвестира в елиминиране на отрицателни външни въздействия“.
Възможно е потребителите да наложат проблема, като отказват да купуват софтуер от доставчици на софтуер, съдържащ дупки за сигурност. На практика обаче уязвимостите са норма. Всички ги очакваме и те не си отиват. Докладът отбелязва, че „няма юридическа отговорност за качеството на софтуера и това е малко вероятно да се промени скоро в скоро време“.
Изследователят, който открие нова дупка за сигурност, може спокойно да я представи на продавача, да я обяви публично или да я продаде на най-високия участник в търга. Предишно проучване на NSS Labs отчете процъфтяващ бизнес за препродажба на експлоатации на черния пазар. Докладът отбелязва, че нещата биха били много по-лоши, но поради факта, че много изследователи по сигурността алтруистично се въздържат от продажба на черни търговци.
Мошениците не могат да се състезават
В свят на търсене и предлагане може да мислите, че мошениците просто ще се конкурират с добрите момчета, като наддават повече за чисто нови уязвимости. Докладът подчертава, че същото различие между малки печалби за мошениците и големи загуби за жертвите означава, че мошениците просто не могат да се състезават. Те не могат да предложат повече от максималния си очакван приход, докато IVPP може да плати много повече, за да избегне колосални загуби.
Всъщност значителната награда за новооткритите дупки в сигурността вероятно би довела до повече открития. Изследовател, чиято единствена потенциална награда е потупване по гърба, тениска или няколкостотин долара просто не е толкова мотивирана. Когато вземете месинговия пръстен, вие получавате 150 000 долара, това е друга история.
Големи планове
Пълният доклад предлага подробно предложение за това как би работила международна програма за закупуване на уязвимост. Тя обхваща всичко - от това кой би платил, до това как ще се отчита, до пълната организационна структура и други.
Ще стане ли? Това остава да видим. Но този много старателно обмислен доклад ме убеждава, че наистина може да работи.