ビデオ: ä¸è¦å²ç¬æåçæ§ (九月 2024)
泥棒が宝石商の窓からレンガを投げて在庫を埋め合わせると、彼の利益は宝石商の損失よりも大幅に少なくなります。 泥棒は「暑い」ため、アイテムを実際の値よりも低くする必要があります。 宝石商は商品の価値を失っただけでなく、新しい窓の代金を支払わなければなりません。 同様に、100万のクレジットカード番号を盗むサイバー詐欺師は、数千ドルでそれらを売ることがあります。 100万人の顧客に通知して新しいカードを設定すると、カード発行会社のコストが大幅に増加します。
この格差は、NSS LabsのリサーチバイスプレジデントであるStefan Frei氏にアイデアをもたらしました。 ほとんどのサイバー攻撃は、オペレーティングシステムまたはその他のソフトウェアのある種の脆弱性を悪用することにより、被害者の会社のセキュリティをクラックします。 そのツールを詐欺師から取り除けたらどうでしょうか? 詳細な研究論文で、フライと仲間のアナリスト、フランシスコ・アーテスは、詐欺師が許すよりも多くの脆弱性を支払う国際脆弱性購入プログラム(IVPP)を作成するという大胆な考えを述べています。
数字の実行
専門家はサイバー犯罪により世界中でさまざまな経済的損失を予測していますが、その範囲は数百億から数千億です。 フレイは2012年に公開された脆弱性に関する数値を実行し、それぞれ150, 000ドルで購入するコストは、それらが引き起こした金銭的損害の額よりも大幅に低いことを発見しました。
まず、最高のコストと最低のリターンを見てみましょう。 IVPPが、関与するソフトウェアの重大度または普及率に関係なく、すべての脆弱性に対して150, 000ドルを支払い、それによって100億の財務上の損失を回避したとします。 購入コストは、この最悪のシナリオでの損失の8パーセント弱です。
ただし、悪用された脆弱性の3分の1は、上位10ベンダーのプログラムで発見されました。 それらに支払うだけで、損失の推定1, 000億を受け入れると、コストは損失額の0.3%に下がります。 重大度に基づいた段階的な支払い規模もコストを削減します。 比較として、このレポートは、米国の小売企業が窃盗または「在庫縮小」により年間売上の1.5〜2.0%を失うと予想していることに注目しています。
また、2012年にすべての脆弱性を購入するコストは、米国のGDPまたはEUのGDPの約0.005%であり、ソフトウェア業界の総収益の0.3%未満であったことも判明しました。
セキュリティホールはここにあります
論文の一部では、ソフトウェアの脆弱性に関する現在の状況をレビューしています。 簡単に言えば、たとえ欠陥のないソフトウェアを作成できたとしても、それは有益ではありません。 データ侵害の大きなコストは、欠陥のあるソフトウェアの提供者ではなく、侵害された会社にかかっています。 ビジネス用語では、そのコストはソフトウェアベンダーにとって「負の外部性」であり、「利益重視の企業は負の外部性の排除に投資しません」。
おそらく、ユーザーはセキュリティホールを含むソフトウェアのベンダーからソフトウェアを購入することを拒否することにより、問題を強制することができます。 ただし、実際には、脆弱性が標準です。 私達は皆それらを期待し、彼らは消えない。 報告書は、「ソフトウェアの品質に関して法的責任はありません。これはすぐに変わることはないでしょう」と述べています。
新しいセキュリティホールを発見した研究者は、それを静かにベンダーに提出したり、公表したり、最高入札者に販売したりできます。 以前のNSS Labsの調査では、闇市場の悪用に対する再販ビジネスの繁栄が報告されました。 報告書は事態はもっと悪いだろうが、多くのセキュリティ研究者が黒人マーケターへの販売を利他的に控えているという事実を指摘している。
詐欺師は競争できない
需要と供給の世界では、詐欺師は善良な人々と競争し、新しい脆弱性をより多く入札すると考えるかもしれません。 報告書は、詐欺師の小さな利益と被害者の大きな損失との間の同じ不均衡は、詐欺師が単に競争できないことを意味することを指摘しています。 IVPPは巨額の損失を回避するためにさらに多くを支払うことができますが、彼らは予想される最大の収入以上を提供することはできません。
実際、新たに見つかったセキュリティホールに対する実質的な報酬は、より多くの発見につながる可能性があります。 唯一の潜在的な報酬が背中を軽くたたく、Tシャツ、または数百ドルである研究者は、やる気がありません。 真鍮の指輪をつかむと$ 150, 000が得られますが、これは別の話です。
大きな計画
完全なレポートは、国際脆弱性購入プログラムがどのように機能するかについての詳細な提案を提供します。 誰が支払うか、どのように報告が行われるか、完全な組織構造など、すべてをカバーしています。
それは起こりますか? それはまだ見られない。 しかし、非常に綿密に考え抜かれたこのレポートは、実際に機能することを確信しています。
