Видео: unboxing turtles slime surprise toys learn colors (Октября 2024)
Когда грабитель бросает кирпич в окно ювелира и убегает с запасом, его прибыль значительно меньше потерь ювелира. Вор должен будет ограждать предметы ниже их реальной стоимости, так как они «горячие». Ювелир не только потерял ценность товара, он должен заплатить за новое окно. Точно так же кибер-мошенник, который крадет миллион номеров кредитных карт, может продать их за несколько тысяч долларов; уведомление миллиона клиентов и установка новых карт обойдется эмитенту карты значительно дороже.
Это несоответствие породило идею для Стефана Фрея, вице-президента по исследованиям в NSS Labs. Большинство кибератак взламывает безопасность компании-жертвы, используя какой-либо тип уязвимости в операционной системе или другом программном обеспечении. Что если бы мы могли отобрать этот инструмент у мошенников? В подробном исследовательском документе Фрей и его коллега-аналитик Франсиско Артес излагают смелую идею создания Международной программы закупок уязвимостей (IVPP), которая заплатила бы за уязвимости больше, чем мошенники могут себе позволить.
Запуск чисел
Разные эксперты предлагают разные оценки финансовых потерь во всем мире из-за киберпреступности, но они варьируются от десятков миллиардов до сотен миллиардов. Фрей проверил данные об уязвимостях, опубликованные в 2012 году, и обнаружил, что стоимость покупки каждого за 150 000 долларов была бы значительно ниже суммы финансового ущерба, который они нанесли.
Во-первых, давайте посмотрим на самую высокую стоимость и самый низкий доход. Предположим, что IVPP заплатил 150 000 долларов за каждую уязвимость независимо от серьезности или распространенности используемого программного обеспечения и, таким образом, избежал десяти миллиардов финансовых потерь. Стоимость покупки составляет чуть менее 8 процентов от потерь в этом наихудшем сценарии.
Тем не менее, одна треть эксплуатируемых уязвимостей была обнаружена в программах десяти ведущих поставщиков. Просто заплатив за это и принимая смету в 100 миллиардов за убытки, стоимость снижается до 0, 3 процента от потерянной стоимости. Градуированная шкала оплаты, основанная на серьезности, также снизит затраты. Для сравнения, в отчете отмечается, что розничные компании в США ожидают потерять от 1, 5 до 2, 0% годовых продаж воровству или «сокращению запасов».
В отчете также указывается, что стоимость покупки всех уязвимостей в 2012 году составила бы около 0, 005 процента от ВВП США или ВВП Европейского союза и менее 0, 3 процента от общего дохода для индустрии программного обеспечения.
Здесь есть дыры безопасности
В части статьи рассматривается текущая ситуация с уязвимостями программного обеспечения. Проще говоря, даже если бы было возможно написать безупречное программное обеспечение, это не было бы выгодно. Большая цена взлома данных ложится на взломанную компанию, а не на поставщика некорректного программного обеспечения. С точки зрения бизнеса, эти затраты являются «негативным внешним фактором» для поставщика программного обеспечения, и «предприятия, ориентированные на получение прибыли, не вкладывают средства в устранение негативных внешних факторов».
Вероятно, пользователи могут форсировать проблему, отказываясь покупать программное обеспечение у поставщиков программного обеспечения, содержащего дыры в безопасности. Однако на практике уязвимости являются нормой. Мы все ожидаем их, и они не уходят. В отчете отмечается, что «нет никакой юридической ответственности за качество программного обеспечения, и вряд ли это изменится в ближайшее время».
Исследователь, обнаруживший новую дыру в безопасности, может незаметно представить ее продавцу, объявить об этом публично или продать ее самой высокой цене. Более раннее исследование NSS Labs сообщило о процветающем перепродажном бизнесе для эксплойтов на черном рынке. В отчете отмечается, что все будет намного хуже, но тот факт, что многие исследователи в области безопасности альтруистически воздерживаются от продажи черным маркетологам.
Мошенники не могут конкурировать
В мире спроса и предложения вы можете подумать, что мошенники будут просто конкурировать с хорошими парнями, предлагая больше за совершенно новые уязвимости. В докладе указывается, что одинаковое различие между малым выигрышем для жуликов и большими потерями для жертв означает, что жулики просто не могут конкурировать. Они не могут предложить больше, чем их максимальный ожидаемый доход, в то время как IVPP может заплатить гораздо больше, чтобы избежать колоссальных потерь.
Фактически, существенная награда за вновь обнаруженные дыры в безопасности, вероятно, приведет к большему количеству открытий. Исследователь, чья единственная потенциальная награда - похлопывание по спине, футболка или несколько сотен долларов, просто не так мотивирован. Когда вы получаете медное кольцо, вы получаете 150 000 долларов, это уже другая история.
Большие планы
Полный отчет предлагает подробное предложение о том, как будет работать Международная программа покупки уязвимостей. Он охватывает все, от того, кто будет платить, до того, как будет происходить отчетность, до полной организационной структуры и многое другое.
Это случится? Это еще предстоит выяснить. Но этот очень тщательно продуманный отчет убеждает меня, что он действительно может сработать.
