¿Cómo estimar el costo de la vulnerabilidad de una aplicación?

8

He visto datos sobre el costo de una brecha, incluidas muchas encuestas e investigaciones de Verizon y el Instituto Ponemon. Pero en términos de una vulnerabilidad real, ¿cuáles son los factores a considerar para determinar el costo?

Pocas cosas que tenía en mente son:

  1. Factor de riesgo: Inyección de SQL vs XSS reflejado
  2. Costo de detección manual o mediante escáneres automatizados
  3. Costo para arreglar en términos de horas de desarrollo
  4. Los costos asociados con la vulnerabilidad que lleva a fallar una auditoría de cumplimiento

¿Cómo determinan los profesionales de la seguridad y la gestión de riesgos el costo de una vulnerabilidad?

    
pregunta Epoch Win 02.07.2013 - 22:06
fuente

3 respuestas

8

El costo no proviene de la vulnerabilidad, sino del riesgo . A saber:

  • Una vulnerabilidad es aquella que puede explotarse para poner en riesgo sus activos de información (por ejemplo, un desbordamiento de búfer).
  • Una amenaza es un elemento de contexto que intentará fisgonear o dañar sus activos de información (por ejemplo, un grupo existente de atacantes que se beneficiarían de tales acciones de alguna manera).
  • Un riesgo es cuando una amenaza se encuentra con una vulnerabilidad, se llevan bien, se casan y tienen descendencia.

El costo es algo que se aplica a cualquier cosa que hagas con el riesgo. Por ejemplo, el costo de ignorar el riesgo es, aproximadamente, el costo del daño resultante de la actualización del riesgo. Por otro lado, el costo de arreglar un desbordamiento de búfer es puramente desarrollo & Costo de despliegue, ya que elimina la vulnerabilidad. El arte de la gestión de riesgos es lograr el equilibrio correcto entre las acciones correctivas y la aceptación (el "equilibrio correcto" es relativo a los objetivos de gestión de riesgos, que dependen de la organización).

Conclusión: el costo se trata de lo que usted hace, y depende de muchos elementos contextuales, en particular las amenazas. No puede estimar una noción significativa de costo sin tener en cuenta el contexto. No puede adjuntar un costo a una vulnerabilidad , ni siquiera a un riesgo ; el costo es una propiedad de un conjunto de acciones (ya que "no hacer nada" es un conjunto de este tipo, algunos costos son incurridos siempre »).

    
respondido por el Tom Leek 02.07.2013 - 22:35
fuente
1

Poner un costo en un exploit usualmente involucra (muchas) reuniones con usuarios de negocios y al final es solo una conjetura educada. Es posible que pueda estimar el costo de una interrupción comercial de 4 horas debido a un ataque de denegación de servicio. Sin embargo, para algo como la desfiguración de un sitio web tendría que tener una conversación con personas de la administración y / o relaciones públicas para determinar el daño causado La reputación y el coste de su reparación. Otra cosa a tener en cuenta es no solo el costo del ataque, sino también la frecuencia. Si es un ataque fácil, podría suceder todos los días o cada hora, por lo que tendría que multiplicar el costo del ataque por la frecuencia para obtener un costo real.

No incluiría el costo de detectar una vulnerabilidad como el costo de una infracción. Debería buscar activamente agujeros de seguridad, independientemente de que se encuentre en un grupo de dinero diferente, como TI o uno específicamente para Seguridad de la información

    
respondido por el Four_0h_Three 02.07.2013 - 22:37
fuente
0

Depende de quién está haciendo la estimación.

Si usted es el productor de software, el costo es el costo para corregir la vulnerabilidad. Si se está esforzando por una práctica madura de administración de riesgos, agregue el costo de la pérdida de negocios si la vulnerabilidad dañará sus ventas. Ignore los costos en el siguiente párrafo a menos que exista algún seguro o régimen regulatorio que le asigne esos costos.

Si usted es el consumidor, entonces un impacto de probabilidad x simplista estándar puede ser adecuado (aunque sea grosero y poco elegante, pero adecuado). Determine el costo de la infracción: qué pasaría si la vulnerabilidad fuera explotada por el adversario (esto será un rango, dependiendo del caso más desfavorable y el caso más probable). Luego, la probabilidad de que el adversario sea capaz de aprovechar la vulnerabilidad. Por ejemplo, incluso la peor vulnerabilidad tiene un impacto limitado si solo se produce en un servidor con espacio de aire. Multiplique el valor en dólares x la probabilidad para calcular un rango de exposición al riesgo.

Si te estás esforzando por una práctica madura de gestión de riesgos, deberías tener (o estar recolectando activamente) datos para respaldar el análisis en el párrafo anterior.

Si estás en la comunidad de salud o seguridad, ya deberías tener métodos establecidos para calcular esto.

    
respondido por el Mark C. Wallace 03.07.2013 - 13:20
fuente

Lea otras preguntas en las etiquetas