ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Economia de las vulnerabilidades


Enviado por   •  14 de Junio de 2020  •  Ensayos  •  2.409 Palabras (10 Páginas)  •  113 Visitas

Página 1 de 10

Economía de vulnerabilidades.

Se ha producido un intenso debate entre los proveedores de software y los investigadores de seguridad sobre si la búsqueda y divulgación de vulnerabilidades es socialmente deseable. Resorla ha argumentado que para el software con muchas vulnerabilidades latentes (como Windows), eliminar un error individual hace poca diferencia en la probabilidad de que un atacante encuentre otro más tarde [12]. Dado que los exploits a menudo se basan en vulnerabilidades inferidas de parches o avisos de seguridad, argumentó en contra de la divulgación y los parches frecuentes si las vulnerabilidades están correlacionadas.

Ozment investigó las vulnerabilidades identificadas para FreeBSD; Encontró que muchas vulnerabilidades pueden ser redescubiertas y, por lo tanto, a menudo están correlacionadas [13]. Arora, Telang y Xu produjeron un modelo donde la divulgación es necesaria para incentivar a los proveedores a corregir errores en lanzamientos de productos posteriores [14]. Arora, Krishnan, Nandkumar, Telang y Yang presentan análisis cuantitativos para complementar el modelo anterior, que encontró que para la divulgación pública, los proveedores responden más rápidamente en comparación con la divulgación privada, el número de ataques aumenta pero el número de vulnerabilidades reportadas disminuye con el tiempo [15 ]

Esta discusión plantea una pregunta más fundamental: ¿por qué existen tantas vulnerabilidades en primer lugar? Seguramente, si las compañías desean productos seguros, ¿entonces el software seguro dominará el mercado? Como sabemos por experiencia, este no es el caso: la mayoría del software comercial contiene fallas de diseño e implementación que podrían haberse evitado fácilmente. Aunque los proveedores son capaces de crear software más seguro, la economía de la industria del software les brinda pocos incentivos para hacerlo [7]. En muchos mercados, la actitud de "enviarlo el martes y acertar con la versión 3" es un comportamiento perfectamente racional. Los consumidores generalmente recompensan a los proveedores por agregar funciones, por ser los primeros en el mercado o por ser dominantes en un mercado existente, y especialmente en mercados de plataformas con externalidades de red. Estas motivaciones chocan con la tarea de escribir software más seguro, que requiere pruebas que requieren mucho tiempo y un enfoque en la simplicidad.

Anderson explica fácilmente otro aspecto de la falta de motivación de los vendedores: el mercado de software es un "mercado de limones". En un trabajo ganador del premio Nobel, el economista George Akerlof empleó el mercado de automóviles usados ​​como una metáfora de un mercado con información asimétrica. [dieciséis]. Su artículo imagina una ciudad en la que se venden 50 buenos autos usados ​​(con un valor de $ 2000), junto con 50 "limones" (con un valor de $ 1000) cada uno). Los vendedores saben la diferencia pero los compradores no. ¿Cuál será el precio de compensación del mercado? Inicialmente, uno podría pensar en $ 1500, pero a ese precio nadie con un buen auto lo ofrecerá a la venta; por lo que el precio de mercado terminará rápidamente cerca de $ 1000. Debido a que los compradores no están dispuestos a pagar una prima por la calidad que no pueden medir, solo los vehículos usados ​​de baja calidad están disponibles para la venta.

El mercado de software sufre de la misma asimetría de información. Los vendedores pueden hacer reclamos sobre la seguridad de sus productos, pero los compradores no tienen motivos para confiar en ellos. En muchos casos, incluso el proveedor no sabe qué tan seguro es su software. Por lo tanto, los compradores no tienen motivos para pagar más por un software más seguro, y los vendedores no están dispuestos a invertir en protección. ¿Cómo se puede abordar esto?

Hay dos enfoques en desarrollo para obtener medidas precisas de seguridad de software: mercados de vulnerabilidad y seguros.

Los mercados de vulnerabilidad ayudan a los compradores y vendedores a establecer el costo real de encontrar una vulnerabilidad en el software, que es un proxy razonable para la seguridad del software. Para empezar, algunas normas especifican un costo mínimo de varios tipos de compromiso técnico; Un ejemplo son los estándares bancarios para terminales de entrada de PIN [17]. Luego Schechter propuso mercados abiertos para informes de vulnerabilidades previamente no descubiertas [18]. Dos organizaciones ahora están comprando vulnerabilidades abiertamente, por lo que en realidad existe un mercado (desafortunadamente, los precios no se publican). Su modelo de negocio es proporcionar datos de vulnerabilidad simultáneamente a sus clientes y al proveedor del producto afectado, para que sus clientes puedan actualizar sus firewalls antes que nadie. Kannan y Telang analizaron la utilidad social de esto y descubrieron que era subóptimo [20]: las organizaciones del mercado de errores pueden tener un incentivo para filtrar información de vulnerabilidad sin las garantías adecuadas.

Bohme ha argumentado que los derivados de software son una herramienta mejor que los mercados para la medición de la seguridad del software [21]. Aquí, los profesionales de seguridad pueden alcanzar un consenso de precios sobre el nivel de seguridad de un producto. Los contratos de software podrían emitirse en pares: el primero paga un valor fijo si no se encuentra una vulnerabilidad en un programa en una fecha específica, y el segundo paga otro valor si se encuentran vulnerabilidades. Si estos contratos pueden negociarse, su precio reflejará el consenso sobre el programa. Los vendedores de software, los inversores de las compañías de software y las compañías de seguros podrían usar dichos derivados para cubrir riesgos. Una tercera posibilidad, debido a Ozment, es diseñar un mercado de vulnerabilidad como una subasta [19].

Una crítica a los enfoques basados ​​en el mercado es que podrían aumentar el número de vulnerabilidades identificadas al compensar a las personas que de otro modo no buscarían fallas. Por lo tanto, se debe tener cuidado al diseñarlos.

Un enfoque alternativo es confiar en las aseguradoras. El argumento es que los suscriptores asignan primas basadas en la infraestructura de TI de una empresa y los procesos por los cuales se administra. Esta evaluación da como resultado las mejores prácticas detalladas y, a largo plazo, un conjunto de datos mediante los cuales la aseguradora puede valorar los riesgos con precisión. En este momento, sin embargo, el mercado de ciberseguros está subdesarrollado y subutilizado. ¿Por qué podría ser esto?

...

Descargar como (para miembros actualizados)  txt (15.6 Kb)   pdf (96.1 Kb)   docx (13.1 Kb)  
Leer 9 páginas más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com