¿Está ignorando una amenaza que no puede defenderse de una estrategia válida?

Nunca ignorarías una amenaza, y tal vez eso sea semántica sobre tu redacción. Usted acepta, mitiga o externaliza el riesgo de la amenaza dada. En este caso, sería:

1. acepta que habrá una pérdida de $ X,
2. mitigue la corrección de DRM o encuentra DRM alternativo para proteger el producto, o
3. subcontratar utilizando un seguro o poner el riesgo en otra persona de la misma manera que lo hace el seguro.

En su caso, si 1) no es aceptable, entonces deben pasar a 2 o 3 como sus alternativas.

TL; DR: NO (pero debemos definir qué significa "ignorar"; en el texto de la pregunta, sospecho que en realidad opinamos lo mismo).

Usted no "ignora" una amenaza. La sierra antigua dice que usted no teme una amenaza que no puede evitar, stultum est timere quod vitare non potes , ya que el miedo no le servirá de nada.

Pero pocas amenazas son completamente inevitables en todos sus aspectos y consecuencias, y no se benefician en lo más mínimo de la consideración, por lo que todo lo que queda es ahorrar algo de tiempo al ignorarlas.

No puede evitar muerte , por ejemplo, pero aún se esfuerza por retrasarlo tanto como sea posible con la medicina y el estilo de vida; Lo planificas con seguros y testamento. mitiga sus consecuencias en aquellos a quienes cuida, y si es legal y si es posible, intenta mitigar las consecuencias en sí mismo (las consecuencias que pueda).

Es exactamente lo mismo con amenazas menores (menos las implicaciones religiosas).

Empieza por definir la amenaza y su superficie de ataque. Entonces evalúas si puedes y a qué costo, reduce esa superficie de ataque. Eso es donde la parte de "repensar el modelo de negocio" podría aparecer. O incluso la "abandonar el proyecto en conjunto "o" volcarlo en otra persona ".

Entonces sabes que tienes una vulnerabilidad, pero esto aún te deja con el problema de determinar si esa vulnerabilidad está siendo explotada, y cuánto, y cuál es realmente el daño . En el escenario de duplicación de contenido, esto significaría implementar un sensor capaz de decirle qué se está copiando ilegalmente y cuánto. En varias jurisdicciones no puede hacer nada hasta que, a menos que pueda cuantificar un daño económico, o el riesgo de ello.

Conocer el daño (real y potencial) también es clave para elegir una estrategia. Puede elegir no hacer nada (¡pero continúe con el monitoreo!) Si el daño resultó ser mínimo y es probable que permanezca mínimo; o si el daño también tiene un lado positivo, por ejemplo: la copia ilegal de un software también significa que hay una base de usuarios ilegales que de otra manera no estaría allí, y una parte de esa base de usuarios debe ser legítima en algún momento u otro. Piense en una suite de oficina con la que se familiarice ilegalmente cuando sea un estudiante, y luego ofrezca en su CV o influya en las opciones de compra de una gran empresa (¿van con UnknownOffice v1.0? ¿O prefieren WellKnownOffice 1.0? Esto reflexiona sobre la disponibilidad de usuarios calificados y, por lo tanto, sobre sus salarios). Usted "perdería" un montón de usuarios que nunca habría ganado de todos modos (gran pérdida virtual, cero pérdidas de ingresos) y ganaría algunos usuarios que No habrías tenido otra cosa. Es posible que aún necesite buscar una licencia de Hogar o de Estudiante, u ofrecer una versión de prueba gratuita o una versión limitada abierta, pero el hecho es que en este caso su "amenaza" en realidad sería ayudando a usted.

Si el daño resulta ser enorme, puede buscar otras estrategias (posiblemente políticas, ¿no se puede cambiar la legislación para hacer posible el enjuiciamiento? o técnicas: ¿qué tal un sistema de dongle? ¿Suministrar solo transmisiones en vivo a usuarios autenticados? ¿Sacar tu propio sistema de visualización incompatible? Todas estas son opciones muy costosas que también impactarían en la difusión, por lo que necesitas datos concretos para justificarlas, incluso considerándolas).

Entonces, el hecho de que haya un daño no significa que lo aceptes de forma pasiva. Algunas partes del daño podrían ser contenidas o limitadas, reducidas o su impacto disminuido de alguna manera.

Puede adoptar estrategias proactivamente diseñadas para desactivar una parte del peligro, o reflejarla en la fuente. Solo está disparando al viento aquí, pero si normalmente lanza una versión de menor calidad de un contenido digital después de un tiempo fijo desde el lanzamiento oficial, está obligado a desmotivar una fracción significativa de copiadoras ilegales (así como, en algunas jurisdicciones, hacer El caso es más difícil para quienes copian). Esto disminuye la disponibilidad de copias ilegales y puede aumentar los ingresos. Esa es la teoría una , por supuesto: se necesitaría Ponlo a prueba. Y entonces tal vez experimente con diferentes calidades y demoras para ver cuál es la más efectiva. Podría poner recompensas a los informantes: recuerdo un plan antipiratería en el que podría convertir una licencia pirateada en una legal casi sin costo, siempre que pueda presentar una prueba de compra del material pirateado . Esto no hizo nada contra la piratería doméstica, pero el riesgo de suministrar software ilegalmente a una pequeña / mediana empresa era enorme; independientemente de lo que cobró por el software, nunca podría superar una licencia de costo cero.

Hay cuatro estrategias básicas para controlar los riesgos:

1. Evitación: aplicar salvaguardas que eliminen o reduzcan los riesgos no controlados restantes de la vulnerabilidad
2. Transferencia: Cambiando el riesgo a otras áreas o entidades externas
3. Mitigación: reducir el impacto si se explota la vulnerabilidad
4. Aceptación: comprender las consecuencias y aceptar el riesgo sin control ni mitigación

Y ' Aceptación ' es diferente a ' Ignorancia '.

Si existe un riesgo, no desaparecerá simplemente si lo ignora. Si el riesgo es lo suficientemente pequeño, es poco probable que ocurra y probablemente pueda ignorarlo. Esto es parte de la administración de riesgos habitual, es decir, no hay un sistema completamente seguro.

Pero si el riesgo es lo suficientemente grande, ignorarlo será una mala idea. Entonces, si bien la ignorancia es en este caso todavía una estrategia válida, puede considerarse una estrategia inútil. Sería mejor abordar el riesgo. Es decir. en su ejemplo con DRM, esto podría ser un cambio del modelo de negocio o un cabildeo para que los cambios en el sistema legal reduzcan su propio riesgo al aumentar el riesgo de los atacantes.     

En lugar de ignorar, sugeriría que evalúes la amenaza, determines las pérdidas y determines el costo de la defensa contra la amenaza.

Si el costo de la defensa es mayor que las pérdidas, es válido elegir aceptar las pérdidas de la amenaza sin desarrollar una estrategia para enfrentar la amenaza.

Sin embargo, como señalan otros, hay muchas formas de administrar las amenazas que no cuestan mucho. Como ejemplo, la amenaza de DRM se maneja mediante la presión social en forma de anuncios, "No robarías un auto ...", y las demandas bien publicitadas que sugieren que los usuarios pueden arriesgar sus finanzas si rompen el DRM. / p>

Algunos investigadores de seguridad limitan sus defensas a soluciones principalmente técnicas, sin embargo, hay muchas, muchas más herramientas disponibles para el investigador de amenazas de seguridad de mente abierta.

No debes "ignorar" una amenaza solo porque no puedes evitarla. Las amenazas tienen dos caras: la anterior y la posterior. "Después de" todavía existe si no puede hacer nada acerca de "antes".

Por ejemplo, la denegación de servicio es muy difícil de prevenir. Si un atacante determinado con suficientes recursos (o un atacante estúpido determinado con algunos recursos) decide obtenerlo, no hay mucho que pueda hacer más allá de cerrar su sitio, pagar una tonelada de ancho de banda adicional con anticipación, o espere que su proveedor de alojamiento / ISP use algunos de sus recursos para ayudarlo en su situación.

Sin embargo, puede intentar intentar mitigar los efectos en caso de que ocurra la Denegación de Servicio. Si bien los sitios web puros no pueden hacer mucho de esta manera, un ejemplo donde esto es posible es el software que necesita contacto con un sitio web. Digamos que tienes un programa que almacena datos en un servidor. Podría acumular la capacidad de manejar el sitio (o la red, si el problema se encuentra en el extremo del usuario) no funciona almacenando temporalmente los datos de manera local y limitando la funcionalidad que requeriría la descarga de nuevos datos.

Esto ayuda a mitigar los efectos de la denegación de servicio en su software, incluso si puede hacer poco para evitarlo. El solo hecho de ignorar la amenaza sugeriría que no debería intentar tales esfuerzos de mitigación.

Por supuesto, hay casos en los que incluso la mitigación del efecto es difícil o imposible. Como sugerí, los sitios web tienen poco que pueden hacer, aparte de reducir o subir la factura del ancho de banda mientras responden lentamente. En este tipo de caso, tal vez se podría aplicar "ignorar", aunque "aceptar que no puede hacer nada para mitigar el problema" podría ser un término más político y detallado para él.

Hasta cierto punto, también es una cuestión de escala. Si maneja una gran empresa de TI / Web, como Google, podría tener más opciones en el ejemplo continuo de Denegación de servicio que las que ofrecía la Sra. Smith's Pastries Online, como la participación directa de la ley y varios trucos técnicos detrás de escena. / p>

Principalmente usé DoS, ya que es un ejemplo clásico de una amenaza que es difícil o imposible de prevenir, pero puedes aplicar un proceso similar de razonamiento a casi cualquier cosa.

Creo que un punto que vale la pena señalar, ya que mencionó DRM, es que a veces sus esfuerzos de mitigación pueden tener costos; En ese caso, se reduce la satisfacción del usuario y las malas relaciones públicas. En algunos casos puros de TI, podría ser un aumento de los costos y un rendimiento deficiente. Al sopesar estos costos, usted podría decidir que vale la pena ignorar incluso los posibles efectos de una amenaza, al menos hasta que demuestren que se convierten en un problema importante.

Ignorar es una palabra muy fuerte, pero puedo decirle que es un procedimiento estándar en muchas compañías para evitar hacer cualquier cosa que pudiera sacar a la luz una amenaza con la que sería difícil lidiar.

La política general en casi todas las tiendas de TI es hacer la "diligencia debida", que básicamente significa hacer lo que se supone que debes hacer. Debido a que los ataques muy avanzados (APT de China, etc.) generalmente no son detectables por los métodos estándar de diligencia debida, como instalar AV en una computadora, el departamento de TI típico no los maneja fácilmente.

Entonces, básicamente, lo que esto significa es que si se detecta una intrusión en la APT, la empresa tiene que contratar consultores de seguridad especializados y de gran experiencia para resolver el problema. Esto es MUY MUY caro. Entonces, el resultado neto es que todos están molestos. El CEO está enojado por el dinero gastado. El departamento de TI se ve mal porque dejaron que sucediera la cosa en primer lugar. Y, finalmente, incluso después de que los súper profesionales barren tu sistema, no hay garantía de que los intrusos aún no estén presentes y tengan el código en tu red en alguna parte.

Entonces, por todas estas razones, el departamento de TI promedio ni siquiera quiere ir allí, por lo que evitan hacer cualquier cosa que pueda crear problemas como este. La idea general es que si no puede ser detectado por métodos estándar (AV e IDS comercial), entonces no existe en lo que a ellos respecta.