Ignora una minaccia che non puoi difendere da una strategia valida?

Non ignoreresti mai una minaccia, e forse questa è semantica rispetto alla tua formulazione. Puoi accettare, mitigare o esternalizzare il rischio per la minaccia data. In questo caso, sarebbe:

1. accetta che ci sarà una perdita $ X,
2. attenua la correzione del DRM o trova DRM alternativo per proteggere il prodotto o
3. esternalizzare con l'assicurazione o mettere il rischio su qualcun altro allo stesso modo di assicurazione.

Nel tuo caso, se 1) non è accettabile, allora hanno bisogno di passare a 2 o 3 come alternative.

TL; DR: NO (ma dovremmo definire cosa significa "ignorare", dal testo della domanda sospetto che in realtà siamo della stessa opinione).

Non si "ignora" una minaccia. L'antica sega dice che non temere una minaccia che non puoi evitare - stultum est timere quod vitare non potes , poiché la paura non ti servirà a nulla.

Ma poche minacce sono completamente inevitabili in ogni loro aspetto e conseguenza, e non trarranno alcun beneficio dalla considerazione, in modo che tutto ciò che rimane stia risparmiando un po 'di tempo ignorandoli.

Ad esempio, non puoi evitare la morte , ma cerchi comunque di ritardarlo il più possibile con la medicina e lo stile di vita; lo pianifichi con assicurazioni e volontà; attenuerai le sue conseguenze su coloro a cui tieni, e se e dove possibile e legale, provi e mitighi le conseguenze su te stesso (quelle conseguenze che puoi).

È esattamente la stessa cosa con minori minacce (meno le implicazioni religiose).

Inizi definendo la minaccia e la sua superficie di attacco. Quindi valuti se è possibile, ea quali costi, ridurre la superficie di attacco. Ecco dove potrebbe entrare la parte "ripensare il modello di business" o addirittura "abbandonare il progetto "o" esegui il dump su qualcun altro ".

Allora sai di avere una vulnerabilità, ma questo ti lascia ancora con il problema di determinare se tale vulnerabilità viene sfruttata, e quanto, e in realtà il danno è . Nello scenario di duplicazione dei contenuti ciò significherebbe la distribuzione di un sensore in grado di dirti cosa viene copiato illegalmente e quanto. In diverse giurisdizioni non puoi fare nulla fino a meno che tu non sia in grado di quantificare un danno economico o il suo rischio.

Anche conoscere il danno (attuale e potenziale) è la chiave per scegliere una strategia. Potresti scegliere di non fare nulla (ma continuare a monitorare!) Se il danno si è rivelato minimo, e probabilmente sarà minimo; o se il danno ha anche un lato positivo - per esempio: la copia illegale di un software significa anche che c'è una base di utenti illegale che altrimenti non sarebbe lì, e una parte di quella base di utenti deve essere legittima in un momento o nell'altro. Pensa a una suite per ufficio che ti viene familiarizzato illegalmente con uno studente, e poi offri nel tuo CV e / o influenza le scelte di acquisto di una grande azienda (vanno con UnknownOffice v1.0? O preferiscono WellKnownOffice 1.0? riflette sulla disponibilità di utenti qualificati - e, quindi, sulle loro retribuzioni). Perderesti "molti utenti che non avresti mai guadagnato comunque - enormi perdite virtuali, zero perdite di entrate - e guadagnerai alcuni utenti che non avresti avuto altrimenti. Forse hai ancora bisogno di esaminare le licenze per la casa o gli studenti, o offrire una prova gratuita o aprire una versione limitata, ma il fatto è che in questo caso la tua "minaccia" sarebbe in realtà aiutarti .

Se il danno si rivela enorme, puoi esaminare altre strategie (possibilmente politiche - la legislazione non può essere modificata per rendere possibile la prosecuzione? - o tecnica - come fare con un sistema di chiavi hardware? Solo fornendo flussi live agli utenti autenticati? Ottenere il tuo sistema di visione incompatibile? Queste sono tutte opzioni molto costose che potrebbero avere un impatto anche sulla diffusione, quindi hai bisogno di dati complessi per giustificare anche considerandoli).

Quindi, il fatto che ci sia un danno non significa che lo accetti passivamente. Alcune parti del danno potrebbero essere contenute o altrimenti limitate, ridotte o il loro impatto ridotto in qualche modo.

È possibile adottare proattivamente strategie progettate per disinnescare una parte del pericolo o rifletterla sulla fonte. È sufficiente girare il vento qui, ma se rilasci regolarmente una versione di qualità inferiore di un contenuto digitale dopo un tempo prestabilito dal rilascio ufficiale, sei tenuto a demotivare gravemente una significativa percentuale di fotocopiatrici illegali (così come, in alcune giurisdizioni, fare il caso più difficile su quelli che fanno copia). Ciò riduce la disponibilità di copie illegali e può aumentare le entrate. Questa è una teoria, ovviamente: ne avremmo bisogno mettilo alla prova E poi magari sperimentare qualità e ritardi diversi per vedere quale è più efficace. Potresti mettere bounty sui whistleblowers: ricordo uno schema antipirateria in cui potresti trasformare una licenza pirata in una legale a costo quasi illimitato, purché tu possa produrre una prova di acquisto del materiale piratato . Questo non ha fatto nulla contro la pirateria domestica, ma il rischio di fornire software illegalmente a una piccola / media impresa era enorme; qualunque cosa tu abbia addebitato per il software, non potresti mai battere una licenza a costo zero.

Esistono quattro strategie di base per controllare i rischi:

1. Prevenzione: applicare misure di sicurezza che eliminino o riducano i rischi incontrollati rimanenti per la vulnerabilità
2. Trasferisci: sposta il rischio verso altre aree o verso entità esterne
3. Mitigazione: riduzione dell'impatto se la vulnerabilità viene sfruttata
4. Accettazione: comprendere le conseguenze e accettare il rischio senza controllo o attenuazione

E " Accettazione " è diverso da " Ignoranza ".

Se c'è un rischio, non sparirà semplicemente se lo ignorerai. Se il rischio è abbastanza piccolo, è improbabile che accada e probabilmente lo si può ignorare. Questo fa parte della normale gestione del rischio, cioè non esiste un sistema completamente sicuro.

Ma se il rischio è abbastanza grande ignorarlo sarà una cattiva idea. Quindi, mentre l'ignoranza è in questo caso ancora una strategia valida, può essere considerata una strategia inutile. Affrontare il rischio sarebbe meglio. Cioè nel tuo esempio con DRM questo potrebbe essere un cambiamento del modello di business o fare pressioni per le modifiche al sistema legale per ridurre il tuo rischio aumentando il rischio degli aggressori.

Invece di ignorare, suggerirei di valutare la minaccia, determinare le perdite e determinare il costo da difendere contro la minaccia.

Se il costo per difendere è superiore alle perdite, è valido scegliere di accettare le perdite della minaccia senza sviluppare una strategia per affrontare la minaccia.

Come altri sottolineano, ci sono molti modi per gestire le minacce che non costano molto. Ad esempio, la minaccia DRM viene gestita utilizzando la pressione sociale sotto forma di annunci pubblicitari, "Non rubare un'auto ..." e azioni legali ben pubblicizzate che suggeriscono che gli utenti potrebbero rischiare le proprie finanze se rompono il DRM.

Alcuni ricercatori di sicurezza limitano le loro difese a soluzioni principalmente tecniche, tuttavia ci sono molti, molti più strumenti disponibili per il ricercatore di minacce alla sicurezza di mentalità aperta.

Non dovresti "ignorare" una minaccia solo perché non puoi impedirla. Le minacce hanno due lati: il prima e il dopo. "Dopo" esiste ancora se non puoi fare nulla per "prima".

Ad esempio, Denial of Service è molto difficile da prevenire. Se un determinato attaccante con risorse sufficienti (o uno stupido attaccante determinato con risorse alcune ) decide di prenderti, non c'è molto che puoi fare oltre a chiudere il tuo sito, pagare una tonnellata di larghezza di banda extra in anticipo, o spero che il tuo provider di hosting / ISP utilizzi alcune delle loro risorse per aiutare la tua situazione.

Tuttavia, puoi tentare di attenuare gli effetti in caso di Denial of Service. Mentre i siti web puri non possono fare molto in questo modo, un esempio in cui tale è possibile è un software che ha bisogno di un contatto con un sito web. Supponiamo che tu abbia un programma che memorizza i dati su un server. Potresti sviluppare la capacità di gestire il sito (o la rete, se il problema si trova sul lato dell'utente) mentre si sta scaricando temporaneamente i dati localmente e limitando le funzionalità che richiederebbero il download di nuovi dati.

Questo aiuta a mitigare gli effetti del Denial of Service sul tuo software, anche se puoi fare ben poco per impedirlo. Il semplice fatto di ignorare la minaccia suggerirebbe che non dovresti tentare tali sforzi di mitigazione.

Naturalmente, ci sono casi in cui anche la mitigazione dell'effetto è difficile o impossibile. Come ho suggerito, i siti Web hanno poco che possono fare a parte scendere o aumentare il conto della larghezza di banda mentre rispondono lentamente. In questo tipo di casi, forse "ignorare" potrebbe essere applicato - anche se "accettare di non poter fare nulla per mitigare il problema" potrebbe essere un termine più politico e prolisso per questo.

In una certa misura, è anche una questione di scala. Se gestisci un'enorme società IT / Web, come Google, potresti avere più opzioni nel continuo esempio di Denial of Service rispetto a Pasticcerie Online della signora Smith, come il coinvolgimento diretto delle forze dell'ordine e vari trucchi tecnici dietro le quinte.

Ho usato principalmente DoS in quanto è un classico esempio di minaccia che è difficile o impossibile da prevenire, ma potresti applicare un simile processo di ragionamento a quasi tutto.

Penso che un punto degno di nota, dal momento che hai menzionato il DRM, è che a volte i tuoi sforzi di mitigazione potrebbero derivare dai costi; in tal caso, diminuisce la soddisfazione degli utenti e le cattive pubbliche relazioni. In alcuni casi IT puri, potrebbe essere un aumento dei costi e delle scarse prestazioni. È nel valutare questi costi che potresti decidere di ignorare anche i possibili effetti di una minaccia, almeno finché non si rivelerà un problema sostanziale.

Ignora è una parola abbastanza strong, ma posso dirti che è prassi standard in molte aziende evitare di fare qualsiasi cosa che porterebbe alla luce una minaccia che sarebbe difficile da gestire.

La politica generale in quasi tutti i negozi IT è di fare "due diligence", che in pratica significa fare le cose che si suppone stiano facendo. Poiché gli attacchi molto avanzati (APT cinese ecc.) Generalmente non sono rilevabili con metodi standard di due diligence come l'installazione di AV su un computer, non sono facilmente gestibili dal tipico reparto IT.

Quindi, in pratica, questo significa che se viene rilevata un'intrusione di APT, l'azienda deve assumere consulenti specializzati in sicurezza per la risoluzione dei problemi. Questo è MOLTO MOLTO costoso. Quindi, il risultato netto è che tutti sono sconvolti. Il CEO è arrabbiato per i soldi spesi. Il reparto IT sembra male perché lascia che la cosa accada in primo luogo. E, infine, anche dopo che i super professionisti hanno spazzato via il tuo sistema, non c'è alcuna garanzia che gli intrusi non siano ancora presenti e abbiano il codice sulla tua rete da qualche parte.

Quindi, per tutti questi motivi, il reparto IT medio non vuole nemmeno andarci, quindi evita di fare qualsiasi cosa che possa creare problemi come questo. L'idea generale è che se non può essere rilevato con metodi standard (AV e ID commerciale), allora non esiste per quanto riguarda loro.