视频: In the Clinic with Dr. A Jean Ayres| The Sensory Processing Disorder Foundation (十一月 2024)
当窃贼从珠宝商的窗户扔砖头并拿走存货时,他的收益大大少于珠宝商的损失。 由于物品“很热”,小偷不得不将物品围起来低于其实际价值。 珠宝商不仅失去了商品的价值,还不得不付出新的代价。 同样,窃取一百万个信用卡号码的网络骗子可能会以几千美元的价格将其出售。 通知一百万个客户并为其设置新卡将使发卡机构付出更多的代价。
这种差距引发了NSS Labs研究副总裁Stefan Frei的想法。 大多数网络攻击都是通过利用操作系统或其他软件中的某种漏洞来破坏受害公司的安全。 如果我们可以从骗子手中夺走该工具怎么办? 在一份详尽的研究论文中,弗莱和他的分析师弗朗西斯科·弗朗西斯科·阿特斯(Francisco Artes)阐述了创建国际漏洞购买计划(IVPP)的大胆想法,该计划将为漏洞支付的费用超出了骗子所能承受的范围。
数字运算
不同专家对网络犯罪在全球范围内造成的经济损失提供不同的估计,但范围在数百亿至数千亿之间。 弗莱(Frei)对2012年发布的漏洞进行了统计,发现以15万美元的价格购买每个漏洞的成本将大大低于其造成的财务损失。
首先,让我们看看最高的成本和最低的回报。 假设IVPP为每个漏洞支付了150, 000美元,而无论所涉及软件的严重性或流行程度如何,从而避免了一百亿美元的财务损失。 在这种最坏情况下,购买成本不到损失的8%。
但是,排名前十的供应商在程序中发现了全部被利用漏洞的三分之一。 仅支付这些费用,并接受估计的1000亿美元的损失,成本就下降到损失价值的0.3%。 根据严重性分级付款规模也可以降低成本。 作为比较,该报告指出,美国的零售公司预计会因盗窃或“库存减少”而损失年销售额的1.5%至2.0%。
该报告还发现,2012年购买所有漏洞的成本约为美国GDP或欧盟GDP的0.005%,而低于软件行业总收入的0.3%。
安全漏洞将继续存在
本文的一部分回顾了有关软件漏洞的当前状况。 简而言之,即使有可能编写无缺陷的软件,也不会盈利。 数据泄露的大笔费用落在了遭受破坏的公司上,而不是有缺陷软件的提供者上。 用业务术语来说,该成本是软件供应商的“负外部性”,“以利润为导向的企业不会投资消除负外部性”。
可以想象,用户可以通过拒绝从包含安全漏洞的软件供应商那里购买软件来强迫问题。 但是,在实践中,漏洞是常态。 我们都期望他们,而且他们不会消失。 该报告指出:“软件质量没有法律责任,而且这种情况不太可能很快改变。”
发现新安全漏洞的研究人员可以悄悄将其提交给供应商,公开宣布或将其出售给出价最高的人。 NSS Labs较早的一项研究报道了针对黑市漏洞的蓬勃发展的转售业务。 该报告指出,情况将变得更糟,但事实上,许多安全研究人员无私地拒绝向黑人商人出售产品。
骗子无法竞争
在供求关系的世界中,您可能会认为骗子只会与好人竞争,为新的漏洞出价更高。 该报告指出,骗子的小收益与受害者的大损失之间的相同差距意味着骗子根本无法竞争。 他们不能提供超出其最大预期收入的产品,而IVPP可以支付更多费用以避免巨大损失。
实际上,对新发现的安全漏洞的实质奖励可能会导致更多发现。 研究人员唯一的潜在奖励就是拍拍背部,T恤或几百美元,他们的动机并不那么积极。 当拿起黄铜戒指时,您得到15万美元,这是另一回事。
大计划
完整的报告提供了有关国际漏洞购买程序如何工作的详细建议。 它涵盖了从付款人到报告的方式到整个组织结构等各个方面。
会发生吗? 这还有待观察。 但是这份经过深思熟虑的报告使我确信它确实可以工作。
