¿El progreso en los enfoques de mercado para la divulgación de vulnerabilidades de software?

11

En Una comparación de los enfoques de mercado con la divulgación de vulnerabilidad de software (2006) , Rainer Böhme describe el profundo papel del "fallo de mercado" económico en la dinámica de la industria que obstaculiza la seguridad del software. También describe 4 tipos de mercados que pueden ayudar:

  • Desafíos de errores, como los pagos de Mozilla y Google por errores de seguridad
  • Agentes de vulnerabilidad, también conocidos como "círculos de vulnerabilidad compartida", por ejemplo. CERT o iDefense
  • Explotación de derivados, una aplicación de mercados binarios para eventos de seguridad
  • Ciberseguro

Los dos últimos parecen ser los más prometedores. ¿Ha madurado alguna de estas ideas desde entonces, y están disponibles en cualquier lugar?

Ver también

Actualización :

Actualización 2 : acabo de encontrar el artículo de Tyler Moore sobre incentivos desalineados y asimetrías de información, y lograr que los ISP asuman más responsabilidades: Introducción a la economía de la ciberseguridad: Principios y opciones de política (pdf) National Academies Press, 2010

    
pregunta nealmcb 25.05.2011 - 21:57
fuente

3 respuestas

2

De estos tipos de mercado, los dos primeros pueden beneficiar a los investigadores de seguridad individuales, pero deben ser iniciados por el proveedor. Por lo tanto, solo la información de vulnerabilidad con respecto a los proveedores que participan en dicha solución sería valiosa bajo dicho mecanismo. Dependiendo del nivel de participación, esto podría obstaculizar profundamente a un investigador de seguridad. Los corredores de vulnerabilidad y el ciberseguro no tienen un incentivo inmediato para el investigador individual. Eso sería difícil aprovechar una vulnerabilidad encontrada en el ingreso bajo estos dos sistemas.

Debido a la naturaleza secreta del mercado en la actualidad, es difícil para ellos encontrar un comprador, determinar un precio para la información, probar el valor de la vulnerabilidad e intercambiar los bienes por dinero. Además de esto, en cualquier punto de este proceso, la vulnerabilidad puede ser anunciada por otra persona, haciendo que el descubrimiento no valga nada. Existen algunas soluciones que ayudan a aliviar algunos de estos problemas, sin embargo, su implementación real se mantiene lejos en el futuro.

Eche un vistazo a este documento: enlace

    
respondido por el RudraK 29.06.2011 - 13:15
fuente
1

Los derivados como una solución para imbuir las vulnerabilidades de TI con la fuerza económica parece ser una idea confusa con consecuencias potencialmente desastrosas. La fecha del documento sobre ese tema debe considerarse en su revisión. En los días de embriaguez de 2007, antes del evento de la cola gruesa, que ahora conocemos como la Gran Recesión, el intercambio de riesgos fue toda la rabia. Resulta que tenemos numerosos ejemplos en las últimas décadas (futuros del clima de Enron, swaps de incumplimiento de crédito hipotecario (CDS), etc.) del costo contraintuitivo de los derivados cuando se utilizan para mitigar el riesgo. En lugar de mitigar el riesgo, en realidad lo aprovechan en la estratosfera.

Tenga en cuenta las fuerzas económicas que operan en la compra y venta de swaps sobre si aparecerá un determinado exploit el próximo mes contra un objetivo específico. Puedo ver las mismas fuerzas que tenían los administradores de fondos de cobertura creando CDS de hipotecas diseñadas para fallar para que pudieran apostar contra ellos actuando en este espacio. Considere que tiene una apuesta en un evento raro que ocurre en una gran compañía de tarjetas de crédito. La compañía podría reclamar que estaban cubiertos para los pasivos relacionados descargando el riesgo para el AIG de seguros de explotaciones. El motivo para el compañero al otro lado de esos intercambios de AIG sería ver que lo raro ocurre incluso. Incluso podría poner a miles en contra de las probabilidades del evento (pagando millones como es la naturaleza de los derivados) y estar bastante incentivado por las mismas fuerzas económicas que estamos tratando de aprovechar para el efecto contrario.

Aparte de eso, consideremos las fuerzas económicas más tradicionales en el contexto de esta pregunta. Un proveedor que proporciona software o hardware con fallas críticas, ¿no son responsables de la misma manera que el fabricante de automóviles que produce un automóvil que ocasionalmente estalla en llamas? A partir de hoy la respuesta es no. Esta situación verá una evolución interesante cuando tengamos fallas automáticas inducidas por el software, como lo hicimos con la acusación de aceleración incontrolada contra Toyota. Cuando eso sucede, el hecho de que estaba relacionado con el firmware o el software de TI exime al fabricante de la responsabilidad, ya que no consideramos que esa responsabilidad sea válida, ya que tiene el factor de inmunidad a la complejidad COTS. Se puede hacer la misma pregunta económica a quienes prestan servicios como nuestros bancos. Si exponen mi identidad, lo que a su vez permite el robo de mi dinero en efectivo en su banco, ¿llegará un día en que la carga de la responsabilidad se transfiera más completamente al proveedor del servicio y no a la víctima?

La maduración de las fuerzas económicas tradicionales relacionadas con la responsabilidad del proveedor y del proveedor de servicios se vería obstaculizada por los derivados de riesgo de seguridad. Los derivados incentivarían a los malhechores a especular, atacar y desincentivar a los proveedores y proveedores de servicios a medida que despiden su riesgo (deletreando esa responsabilidad) al AIG de intercambios de vulnerabilidades.

    
respondido por el zedman9991 29.06.2011 - 15:00
fuente
0

BeeWise , de Alfonso De Gregorio, es una implementación parcial / beta de un mercado de derivados de exploits de seguridad, utilizando "dinero ficticio", y confiar en VDB para identificar vulnerabilidades, y CVSS para indicar las condiciones bajo las cuales un sistema sería vulnerable. Se implementó por primera vez alrededor de 2011.

Vea más en BeeWise: Un mercado de futuros para el fomento de la seguridad por Diseño de Alfonso De Gregorio en Prezi , que aclara muchos de los problemas y compara los mercados que usan dinero ficticio con los mercados que usan dinero real. Los no economistas probablemente pueden omitir la mayor parte de la primera sección de diapositivas, y seguir adelante con el control deslizante para deslizar 24 "Mercados de vulnerabilidad: una taxonomía"

    
respondido por el nealmcb 30.08.2016 - 20:03
fuente

Lea otras preguntas en las etiquetas