การประมูลโจร: วิธีหนึ่งในการยุติการหาประโยชน์

เมื่อคนขโมยขว้างปาก้อนอิฐผ่านหน้าต่างของร้านขายเครื่องประดับและทำกับสต็อกผลกำไรของเขาจะน้อยกว่าการสูญเสียของผู้ค้าอัญมณี ขโมยจะต้องรั้วรายการต่ำกว่ามูลค่าที่แท้จริงของพวกเขาเนื่องจากพวกเขา "ร้อน" นักอัญมณีไม่เพียง แต่สูญเสียมูลค่าของสินค้าเขาต้องจ่ายค่าหน้าต่างใหม่ ในทำนองเดียวกันอาชญากรไซเบอร์ที่ขโมยหมายเลขบัตรเครดิตหนึ่งล้านใบอาจขายได้ในราคาเพียงไม่กี่พันเหรียญ การแจ้งลูกค้าหนึ่งล้านรายและการตั้งค่าบัตรใหม่จะทำให้ผู้ออกบัตรเสียค่าใช้จ่ายมากขึ้น

ความแตกต่างนี้เป็นจุดประกายความคิดของ Stefan Frei รองประธานฝ่ายการวิจัยของ NSS Labs การโจมตีทางไซเบอร์ส่วนใหญ่ทำให้ บริษัท ของเหยื่อตกเป็นเหยื่อโดยการเอาเปรียบช่องโหว่บางประเภทในระบบปฏิบัติการหรือซอฟต์แวร์อื่น ถ้าเราสามารถเอาเครื่องมือนั้นออกไปจากข้อพับได้ล่ะ? ในรายงานการวิจัยโดยละเอียด Frei และนักวิเคราะห์เพื่อน Francisco Artes สะกดความคิดที่เป็นตัวหนาของการสร้างโปรแกรมการซื้อช่องโหว่ระหว่างประเทศ (IVPP) ที่จะจ่ายเงินมากขึ้นสำหรับช่องโหว่กว่าโจรที่สามารถจ่ายได้

วิ่งตัวเลข

ผู้เชี่ยวชาญหลายคนเสนอการประเมินความสูญเสียทางการเงินทั่วโลกที่แตกต่างกันเนื่องจากอาชญากรรมไซเบอร์ แต่ในช่วงระหว่างสิบพันล้านกับหลายพันล้าน Frei จัดทำตัวเลขเกี่ยวกับช่องโหว่ที่เผยแพร่ในปี 2012 และพบว่าค่าใช้จ่ายในการซื้อแต่ละรายการในราคา $ 150, 000 จะต่ำกว่าจำนวนความเสียหายทางการเงินที่เกิดขึ้นอย่างมากมาย

อันดับแรกให้ดูที่ราคาสูงสุดและผลตอบแทนต่ำสุด สมมติว่า IVPP จ่ายเงิน $ 150, 000 สำหรับทุกช่องโหว่โดยไม่คำนึงถึงความรุนแรงหรือความชุกของซอฟต์แวร์ที่เกี่ยวข้องและหลีกเลี่ยงการสูญเสียทางการเงินหมื่นล้าน ต้นทุนการซื้อต่ำกว่า 8 เปอร์เซ็นต์ของการสูญเสียในสถานการณ์ที่เลวร้ายที่สุด

อย่างไรก็ตามพบหนึ่งในสามของช่องโหว่ที่ถูกโจมตีในโปรแกรมโดยผู้ค้าอันดับหนึ่งในสิบ เพียงแค่จ่ายเงินให้และยอมรับการสูญเสียประมาณ 100 พันล้านบาทราคาก็ลดลงเหลือ 0.3% ของมูลค่าที่สูญหาย ระดับการชำระเงินที่สำเร็จการศึกษาขึ้นอยู่กับความรุนแรงจะช่วยลดต้นทุน จากการเปรียบเทียบรายงานระบุว่า บริษัท ค้าปลีกในสหรัฐอเมริกาคาดว่าจะลดยอดขายปีละ 1.5-2.0% ให้แก่การขโมยหรือ "การหดตัวของสินค้าคงคลัง"

รายงานยังพบว่าค่าใช้จ่ายในการซื้อช่องโหว่ทั้งหมดในปี 2555 จะอยู่ที่ประมาณ 0.005% ของ GDP สหรัฐฯหรือ GDP ของสหภาพยุโรปและต่ำกว่า 0.3% ของรายได้ทั้งหมดสำหรับอุตสาหกรรมซอฟต์แวร์

หลุมรักษาความปลอดภัยอยู่ที่นี่เพื่ออยู่

บางส่วนของกระดาษตรวจสอบสถานการณ์ปัจจุบันเกี่ยวกับช่องโหว่ของซอฟต์แวร์ เพียงวางไว้แม้ว่าจะเป็นไปได้ที่จะเขียนซอฟต์แวร์ที่ไม่มีข้อบกพร่องก็จะไม่ได้ผลกำไร ค่าใช้จ่ายจำนวนมากของการละเมิดข้อมูลตกอยู่กับ บริษัท ที่ถูกละเมิดไม่ใช่ผู้จัดหาซอฟต์แวร์ที่มีข้อบกพร่อง ในแง่ธุรกิจค่าใช้จ่ายนั้นเป็น "ผลกระทบภายนอกเชิงลบ" สำหรับผู้จำหน่ายซอฟต์แวร์และ "ธุรกิจที่ขับเคลื่อนด้วยผลกำไรไม่ได้ลงทุนในการขจัดปัจจัยภายนอกเชิงลบ"

ผู้ใช้อาจบังคับให้เกิดปัญหาโดยปฏิเสธที่จะซื้อซอฟต์แวร์จากผู้จำหน่ายซอฟต์แวร์ที่มีช่องโหว่ด้านความปลอดภัย ในทางปฏิบัติแม้ว่าช่องโหว่เป็นบรรทัดฐาน เราทุกคนคาดหวังพวกเขาและพวกเขาจะไม่หายไป รายงานตั้งข้อสังเกตว่า "ไม่มีความรับผิดตามกฎหมายสำหรับคุณภาพของซอฟต์แวร์และสิ่งนี้ไม่น่าจะเปลี่ยนแปลงได้ตลอดเวลาเร็ว ๆ นี้"

นักวิจัยที่ค้นพบช่องโหว่ความปลอดภัยใหม่สามารถส่งไปยังผู้ขายประกาศอย่างเงียบ ๆ เปิดเผยต่อสาธารณะหรือขายให้กับผู้เสนอราคาสูงสุด การศึกษาของ NSS Labs ก่อนหน้านี้รายงานว่าธุรกิจขายคืนที่รุ่งเรืองสำหรับการหาประโยชน์ในตลาดมืด รายงานตั้งข้อสังเกตว่าสิ่งต่าง ๆ จะเลวร้ายลงมาก แต่สำหรับนักวิจัยด้านความปลอดภัยหลายคนก็ไม่ยอมขายนักการตลาดผิวดำ

โจรไม่สามารถแข่งขันได้

ในโลกของอุปสงค์และอุปทานคุณอาจคิดว่าโจรจะแข่งขันกับคนดี ๆ และประมูลช่องโหว่ใหม่ ๆ รายงานชี้ให้เห็นว่าความแตกต่างระหว่างกำไรเล็กน้อยสำหรับโจรและการสูญเสียครั้งใหญ่สำหรับผู้ที่ตกเป็นเหยื่อหมายความว่าโจรไม่สามารถแข่งขันได้ พวกเขาไม่สามารถให้มากกว่ารายได้สูงสุดที่คาดไว้ในขณะที่ IVPP อาจจ่ายมากขึ้นเพื่อหลีกเลี่ยงการสูญเสียมหาศาล

ในความเป็นจริงรางวัลที่สำคัญสำหรับช่องโหว่ความปลอดภัยที่เพิ่งค้นพบใหม่อาจนำไปสู่การค้นพบมากขึ้น นักวิจัยที่มีเพียงรางวัลที่เป็นไปได้คือการตบหลังเสื้อยืดหรือไม่กี่ร้อยดอลลาร์ก็ไม่ได้เป็นแรงบันดาลใจ เมื่อคว้าแหวนทองเหลืองคุณจะได้รับ $ 150, 000 นั่นเป็นเรื่องที่แตกต่าง

แผนใหญ่

รายงานฉบับเต็มเสนอข้อเสนอโดยละเอียดเกี่ยวกับวิธีการจัดซื้อโปรแกรมความเปราะบางระหว่างประเทศ ครอบคลุมทุกอย่างตั้งแต่ผู้ที่จ่ายเงินจนถึงวิธีการรายงานที่จะเกิดขึ้นไปจนถึงโครงสร้างองค์กรที่สมบูรณ์และอีกมากมาย

มันจะเกิดอะไรขึ้น? ยังคงที่จะเห็น แต่รายงานความคิดที่ละเอียดรอบคอบนี้ทำให้ฉันมั่นใจว่ามันสามารถใช้งานได้จริง