Video: My Friend Irma: Memoirs / Cub Scout Speech / The Burglar (Nobyembre 2024)
Kapag ang isang magnanakaw ay nagtatapon ng isang ladrilyo sa pamamagitan ng bintana ng isang alahas at natapos sa stock, ang kanyang mga natamo ay higit na mas mababa kaysa sa pagkalugi ng alahas. Ang magnanakaw ay kailangang i-bakod ang mga item sa ibaba ng kanilang aktwal na halaga, dahil sila ay "mainit." Hindi lamang nawala ang halaga ng alahas ng halaga ng paninda, kailangan niyang magbayad para sa isang bagong window. Sa pamamagitan ng parehong token, ang isang cyber-crook na nagnanakaw ng isang milyong numero ng credit card ay maaaring ibenta ang mga ito nang ilang libong bucks; ang pag-uulat sa isang milyong mga customer at pag-set up ng mga ito sa mga bagong card ay gastos sa nagbigay ng card nang higit pa.
Ang disparity na ito ay nagdulot ng isang ideya para sa Stefan Frei, Research Vice President sa NSS Labs. Karamihan sa mga pag-atake ng cyber ay pumutok sa seguridad ng kumpanya ng biktima sa pamamagitan ng pagsasamantala sa ilang uri ng kahinaan sa operating system o iba pang software. Paano kung mailalayo namin ang tool na iyon mula sa mga crooks? Sa isang detalyadong papel ng pananaliksik, binaybay ng Frei at kapwa analyst na si Francisco Artes ang naka-bold na ideya ng paglikha ng isang International Vulnerability Purchase Program (IVPP) na magbabayad nang higit pa para sa mga kahinaan kaysa sa kayang makuha ng mga crook.
Pagpapatakbo ng Mga Numero
Ang iba't ibang mga pundasyon ay nag-aalok ng iba't ibang mga pagtatantya ng pagkalugi sa pananalapi sa buong mundo dahil sa cybercrime, ngunit saklaw sila sa pagitan ng sampu-sampung bilyun-bilyon at daan-daang bilyun-bilyon. Pinatakbo ni Frei ang mga numero sa mga kahinaan na nai-publish noong 2012 at natagpuan na ang gastos sa pagbili ng bawat isa sa $ 150, 000 ay magiging mas mababa kaysa sa halaga ng pinsala sa pananalapi na dulot nito.
Una, tingnan natin ang pinakamataas na gastos at ang pinakamababang pagbabalik. Ipagpalagay na ang IVPP ay nagbabayad ng $ 150, 000 para sa bawat kahinaan ng anuman ang kalubha o paglaganap ng software na kasangkot at sa gayon ay maiiwasan ang sampung bilyong pagkalugi sa pananalapi. Ang gastos ng pagbili ay nasa ilalim lamang ng 8 porsyento ng mga pagkalugi sa pinakamasamang sitwasyon na ito.
Gayunpaman, ang buong isang third ng pinagsamantalang kahinaan ay natagpuan sa mga programa ng nangungunang sampung vendor. Nagbabayad lamang para sa mga iyon, at tumatanggap ng isang pagtatantya ng 100 bilyon para sa mga pagkalugi, ang gastos ay bumaba sa 0.3 porsyento ng nawawalang halaga. Ang isang graduated scale ng pagbabayad batay sa kalubhaan ay mababawas din ang mga gastos. Bilang paghahambing, ang ulat ay nagtatala na ang mga kumpanya ng tingi sa US ay inaasahan na mawalan ng 1.5 hanggang 2.0 porsyento ng taunang mga benta sa pilferage o "pag-urong ng imbentaryo."
Natagpuan din ng ulat na ang gastos ng pagbili ng lahat ng mga kahinaan sa 2012 ay tungkol sa 0.005 porsyento ng GDP ng US o GDP ng European Union, at sa ilalim ng 0.3 porsyento ng kabuuang kita para sa industriya ng software.
Narito ang Mananatili sa Seguridad
Sinusuri ng bahagi ng papel ang kasalukuyang sitwasyon tungkol sa kahinaan ng software. Maglagay lamang, kahit na posible na magsulat ng software na walang kamali-mali, hindi ito magiging kapaki-pakinabang. Ang malaking halaga ng isang paglabag sa data ay bumagsak sa kumpanya na nasira, hindi sa purveyor ng flawed software. Sa mga termino ng negosyo, ang gastos na iyon ay "negatibong pagiging eksklusibo" para sa nagbebenta ng software, at "ang mga negosyong hinihimok ng tubo ay hindi namumuhunan sa pagtanggal ng mga negatibong panlabas."
Ang mapagkakamaling mga gumagamit ay maaaring pilitin ang isyu sa pamamagitan ng pagtanggi na bumili ng software mula sa mga vendor ng software na naglalaman ng mga butas sa seguridad. Gayunman, sa pagsasagawa, ang mga kahinaan ay pamantayan. Inaasahan namin silang lahat, at hindi sila lalayo. Itinala ng ulat na "walang ligal na pananagutan para sa kalidad ng software, at ito ay malamang na hindi magbabago anumang oras sa lalong madaling panahon."
Ang mananaliksik na nadiskubre ang isang bagong butas ng seguridad ay maaaring tahimik na isumite ito sa nagbebenta, ipahayag ito sa publiko, o ibenta ito sa pinakamataas na bidder. Ang isang mas maagang pag-aaral ng NSS Labs ay nag-ulat ng isang umuusbong na muling pagbebenta ng negosyo para sa mga black market exploits. Ang ulat ay nagtatala na ang mga bagay ay magiging mas masahol pa ngunit para sa katotohanan na maraming mga mananaliksik ng seguridad na altruistically ay pumipigil sa pagbebenta sa mga itim na namimili.
Hindi Makipagkumpitensya ang Crooks
Sa isang mundo ng supply-and-demand, maaari mong isipin na ang mga crooks ay makikipagkumpitensya lamang sa mga mabubuting lalaki, na nag-bid ng higit pa para sa mga bagong kahinaan. Ang ulat ay itinuturo na ang parehong pagkakapareho sa pagitan ng maliit na pakinabang para sa mga crooks at malaking pagkawala para sa mga biktima ay nangangahulugan na ang mga crooks ay hindi maaaring makipagkumpetensya. Hindi sila maaaring mag-alok ng higit sa kanilang maximum na inaasahang kita, habang ang isang IVPP ay maaaring magbayad nang higit pa upang maiwasan ang malaking pagkalugi.
Sa katunayan, ang malaking gantimpala para sa mga natagpuang butas ng seguridad ay malamang na hahantong sa higit pang mga pagtuklas. Ang isang mananaliksik na ang tanging potensyal na gantimpala ay isang patlang sa likuran, T-Shirt, o ilang daang dolyar lamang ay hindi naiudyok. Kapag nahawakan mo ang singsing na tanso ay makakakuha ka ng $ 150, 000, iba ang kwento.
Malaking Plano
Nag-aalok ang buong ulat ng isang detalyadong mungkahi para sa kung paano gagana ang isang International Vulnerability Purchase Program. Saklaw nito ang lahat mula sa kung sino ang magbabayad, kung paano mangyayari ang pag-uulat, sa buong istruktura ng organisasyon, at marami pa.
Mangyayari ba ito? Ito ay nananatiling makikita. Ngunit ang lubusang iniisip na ulat na ito ay nakakumbinsi sa akin na maaaring gumana talaga ito.
