מתגברים על הנוכלים: דרך אחת לסיים מעלולים

כאשר פורץ זורק לבנה דרך חלון התכשיטן וממשיך עם המניה, הרווחים שלו פחותים משמעותית מההפסדים של התכשיטן. הגנב יצטרך לגדר את הפריטים שמתחת לערכם בפועל, מכיוון שהם "חמים". התכשיטן לא רק איבד את שווי הסחורה, הוא צריך לשלם עבור חלון חדש. באותה מידה, נוכל סייבר שגונב מיליון מספרי כרטיסי אשראי עשוי למכור אותם בכמה אלפי דולרים; הודעה על מיליון לקוחות והגדרת כרטיסים חדשים תעלה למנפיק הכרטיסים הרבה יותר.

פער זה עורר רעיון עבור סטפן פריי, סגן נשיא המחקר במעבדות NSS. רוב מתקפות הסייבר מפצחות את אבטחתה של חברת הקורבן על ידי ניצול פגיעות כלשהי במערכת ההפעלה או בתוכנה אחרת. מה אם היינו יכולים לקחת את הכלי הזה מהנוכלים? במאמר מחקר מפורט, פריי והאנליסט האנליסט פרנסיסקו ארטס את הרעיון הנועז של יצירת תוכנית רכישת פגיעות בינלאומית (IVPP) שתשלם יותר עבור פגיעויות ממה שהנוכלים יכולים להרשות לעצמם.

הפעלת המספרים

משלמים שונים מציעים הערכות שונות של הפסדים כספיים ברחבי העולם בגלל פשעי רשת, אך הם נעים בין עשרות מיליארדים למאות מיליארדים. פריי ניהל את המספרים על פגיעויות שפורסמו בשנת 2012 וגילה כי העלות לרכוש כל אחת בסכום של 150, 000 $ הייתה נמוכה בהרבה מסכום הנזק הכספי שהם גרמו.

ראשית, נסתכל על העלות הגבוהה ביותר והתשואה הנמוכה ביותר. נניח שה- IVPP שילם 150, 000 $ עבור כל פגיעות ללא קשר לחומרתה או שכיחותה של התוכנה המעורבת ובכך נמנע מעשרה מיליארד הפסדים כספיים. עלות הרכישה היא קצת פחות משמונה אחוזים מההפסדים בתרחיש הגרוע ביותר.

עם זאת, שליש לחלוטין מהפגיעויות המנוצלות נמצאו בתוכניות של עשרת הספקים המובילים. רק לשלם עבור אלה ולקבל את ההערכה של 100 מיליארד הפסדים, העלות יורדת ל -0.3 אחוז מהערך האבוד. סולם התשלום המדורג על פי חומרתו יפחית גם הוא את העלויות. לשם השוואה, הדו"ח מציין כי חברות קמעונאיות בארה"ב צופות להפסיד 1.5 עד 2.0 אחוז מהמכירות השנתיות לפילפרז 'או "הצטמקות מלאי."

הדו"ח מצא גם כי עלות קניית כל הפגיעויות בשנת 2012 הייתה מסתכמת בכ- 0.005 אחוז מהתמ"ג בארה"ב או מהתמ"ג של האיחוד האירופי, ומתחת ל -0.3 אחוז מסך ההכנסות לתעשיית התוכנה.

חורי ביטחון נמצאים כאן כדי להישאר

חלק מהמאמר סוקר את המצב הנוכחי ביחס לפגיעויות תוכנה. במילים פשוטות, גם אם ניתן היה לכתוב תוכנה ללא פגמים, זה לא יהיה רווחי. העלות הגדולה של הפרת נתונים נופלת על החברה שהופרה, ולא על מתן התוכנה הפגומה. במונחים עסקיים, עלות זו היא "חיצוניות שלילית" עבור ספק התוכנה, ו"עסקים מונעי רווח אינם משקיעים בביטול חיצוניות שליליות."

ניתן להעלות על הדעת שמשתמשים יכולים לכפות את הבעיה על ידי סירוב לרכוש תוכנה מספקי תוכנה המכילה חורי אבטחה. אולם בפועל פגיעויות הן הנורמה. כולנו מצפים להם, והם לא ייעלמו. הדו"ח מציין כי "אין אחריות משפטית לאיכות התוכנה, ולא סביר שזה ישתנה בקרוב."

החוקר שמגלה חור אבטחה חדש יכול להגיש אותו בשקט לספק, להודיע ​​על כך בפומבי או למכור אותו לכל המרבה במחיר. מחקר קודם במעבדות NSS דיווח על עסק משגשג משגשג עבור ניצולים בשוק השחור. הדו"ח מציין שהדברים יהיו גרועים בהרבה, אך העובדה שחוקרי אבטחה רבים נמנעים באופן אלטרואיסטי ממכירות למשווקים שחורים.

נוכלים לא יכולים להתחרות

בעולם של היצע וביקוש, אתה יכול לחשוב שהנוכלים פשוט יתחרו בחבר'ה הטובים, ויציעו יותר עבור פגיעויות חדשות לגמרי. הדו"ח מציין כי אותה פער בין רווח קטן לנוכלים ואובדן גדול עבור הקורבנות פירושו שהנוכלים פשוט לא יכולים להתמודד. הם לא יכולים להציע יותר מההכנסה המרבית הצפויה שלהם, בעוד IVPP יכול לשלם הרבה יותר כדי למנוע הפסדים ענקיים.

למעשה, התגמול המשמעותי עבור חורי אבטחה שנמצאו לאחרונה יוביל ככל הנראה לתגליות נוספות. חוקר שרק התגמול הפוטנציאלי שלו הוא טפיחה על הגב, חולצת טריקו או כמה מאות דולרים פשוט לא מוטיבציה. כשאתה תופס את טבעת הפליז תקבל 150 אלף דולר, זה סיפור אחר.

תכניות גדולות

הדו"ח המלא מציע הצעה מפורטת כיצד תפעל תוכנית רכישת פגיעות בינלאומית. זה מכסה כל דבר ממי ישלם, ועד איך דיווח היה קורה, למבנה הארגוני המלא ועוד.

זה יקרה? נותר לראות. אבל הדו"ח המחושב מאוד ביסודי הזה משכנע אותי שהוא באמת יכול לעבוד.