Progressi negli approcci di mercato alla divulgazione delle vulnerabilità del software?

11

In Un confronto tra approcci di mercato a Software Vulnerability Disclosure (2006) , Rainer Böhme descrive il ruolo profondo del "fallimento del mercato" economico nelle dinamiche del settore che ostacolano la sicurezza del software. Descrive anche 4 tipi di mercati che possono aiutare:

  • Problemi di bug, come i pagamenti di Mozilla e Google per i bug di sicurezza
  • Broker di vulnerabilità, noti anche come "circoli di condivisione delle vulnerabilità", ad es. CERT o iDefense
  • Exploit derivati, un'applicazione di mercati binari per eventi di sicurezza
  • Cyber-assicurativo

Gli ultimi due sembrano essere i più promettenti. Da allora una di queste idee è maturata e sono disponibili ovunque?

Vedi anche

Aggiorna :

Aggiornamento 2 : mi sono imbattuto nel documento di Tyler Moore su incentivi disallineati e asimmetrie informative e mi sono fatto carico di più responsabilità degli ISP: Introduzione all'economia della cibersicurezza: principi e opzioni strategiche (pdf) National Academies Press, 2010

    
posta nealmcb 25.05.2011 - 21:57
fonte

3 risposte

2

Di questi tipi di mercato, i primi due possono avvantaggiare i singoli ricercatori di sicurezza, ma devono essere avviati dal fornitore. Pertanto, solo le informazioni sulla vulnerabilità relative ai fornitori che partecipano a tale soluzione sarebbero preziose in base a tale meccanismo. A seconda del livello di partecipazione, questo potrebbe ostacolare profondamente un ricercatore della sicurezza. I broker di vulnerabilità e l'assicurazione cibernetica non hanno un incentivo immediato per il singolo ricercatore. esso sarebbe difficile sfruttare una vulnerabilità trovata in reddito sotto questi due sistemi.

A causa della natura segreta del mercato al momento attuale, è difficile per loro trovare un acquirente, determinare un prezzo per le informazioni, dimostrare il valore della vulnerabilità e scambiare i beni con i soldi. Inoltre, in qualsiasi momento del processo, la vulnerabilità potrebbe essere annunciata da qualcun altro, rendendo inutile la scoperta. Esistono alcune soluzioni che aiutano ad alleviare alcuni di questi problemi, tuttavia la loro effettiva implementazione rimane lontana nel futuro.

Dai un'occhiata a questo documento: link

    
risposta data 29.06.2011 - 13:15
fonte
1

I derivati come soluzione per infondere le vulnerabilità dell'IT alla forza economica sembrano essere un'idea confusa con conseguenze potenzialmente disastrose. La data del documento su tale argomento dovrebbe essere considerata nella sua revisione. Nei giorni esaltanti del 2007 prima dell'evento fat tail che ora conosciamo come lo swapping del rischio della Grande Recessione è stato di gran moda. Si scopre che abbiamo numerosi esempi negli ultimi decenni (Enron Weather Futures, Mortgage Credit Default Swap (CDS), ecc.) Del costo controintuitivo dei derivati quando utilizzati per la mitigazione del rischio. Invece di mitigare il rischio, in realtà lo sfruttano nella stratosfera.

Considera le forze economiche al lavoro nel comprare e vendere swap sul fatto che un certo exploit apparirà nel prossimo mese contro un obiettivo specifico. Vedo le stesse forze che hanno i gestori di hedge fund che creano CDS di mutui progettati per fallire in modo che possano scommettere contro di loro che agiscono in questo spazio. Considera che hai una scommessa su un evento raro che accade a una grande azienda di carte di credito. La società potrebbe dichiarare di essere coperta per le relative passività scaricando il rischio per l'assicurazione di exploit di AIG. Il motivo per il tizio dall'altra parte di quegli scambi di AIG sarebbe vedere il raro caso. Potrebbe persino piazzare migliaia contro le probabilità dell'evento (pagando milioni come è la natura dei derivati) ed essere piuttosto incentivato dalle stesse forze economiche che stiamo cercando di sfruttare all'opposto effetto.

A parte questo, consideriamo le forze economiche più tradizionali nel contesto di questa domanda. Un fornitore che fornisce software o hardware che è criticamente difettoso non è responsabile nello stesso modo della produzione automobilistica che produce un'auto che a volte irrompe in fiamme? Ad oggi la risposta è no. Questa situazione vedrà un'evoluzione interessante quando avremo un errore automatico indotto dal software, come abbiamo quasi fatto con l'accusa di accelerazione incontrollata contro Toyota. Quando ciò accade, il fatto che sia collegato al firmware o al software IT rilascia la produzione da responsabilità in quanto non riteniamo che la responsabilità sia valida in quanto ha il fattore di immunità alla complessità della COTS. La stessa domanda economica può essere posta a coloro che forniscono servizi come le nostre banche. Se espongono la mia identità che a sua volta consente il furto del mio denaro in banca, verrà un giorno in cui l'onere della responsabilità viene trasferito più completamente al fornitore di servizi e non alla vittima?

La maturazione delle forze economiche tradizionali legate alla responsabilità dei fornitori e dei fornitori di servizi sarebbe ostacolata dai derivati del rischio di sicurezza. I derivati incentiverebbero i malvagi a speculare e attaccare e disincentivare i venditori e i fornitori di servizi mentre espongono i loro rischi (incantesimo di responsabilità) all'AIG di swap di vulnerabilità.

    
risposta data 29.06.2011 - 15:00
fonte
0

BeeWise , di Alfonso De Gregorio, è un'implementazione parziale / beta di un mercato dei derivati degli exploit di sicurezza, utilizzando "denaro del gioco", e basandosi su VDB per identificare le vulnerabilità e CVSS per indicare le condizioni alle quali un sistema sarebbe vulnerabile. È stato implementato per la prima volta nel 2011.

Maggiori informazioni su BeeWise: un mercato a termine per promuovere la sicurezza di Disegno di Alfonso De Gregorio su Prezi , che chiarisce molti dei problemi e mette a confronto i mercati che utilizzano denaro virtuale con i mercati che utilizzano denaro reale. I non-economisti possono probabilmente saltare la maggior parte della prima sezione di diapositive e saltare avanti con il cursore per scorrere 24 "Mercati di vulnerabilità: una tassonomia"

    
risposta data 30.08.2016 - 20:03
fonte

Leggi altre domande sui tag