信息安全市场的经济因素及其与漏洞披露的关系
欧盟的网络安全机构enisa在深入研究了漏洞披露的问题后发布了一份报告,该报告说明了影响漏洞披露者行为的经济因素,奖励机制和动机,此外,还就最近披露的高危漏洞(“熔断”,“幽灵”和“永恒之蓝”)做了案例分析,并说明了整个经过。
漏洞披露中的经济学
它分析了信息安全市场的经济因素及其与漏洞披露的关系,还探讨了如何将古典经济学概念应用于该问题(公共资源的悲剧,网络效应,外部性,不对称信息和逆向选择,责任倾销,道德风险)。
enisa执行董事udo helmbrecht指出:“经济学是现代安全的关键驱动因素,而经济因素往往决定了人们解决问题时采取的方法决策。该报告完美地诠释了这一点,且为漏洞披露领域的各方行为提供了有价值的见解。”
重要见解
研究人员称:“总体而言,该研究已经产生了许多重要发现。首先,该研究表明了以cvd为主的漏洞披露形式的重要性。正如“永恒之蓝”案例中所体现的,广泛存在于软件和硬件中的漏洞可能会给全球社会造成巨大的危害,因此有必要制定一系列流程来充分识别报告、接收,分类及缓和漏洞危害。”
其他见解
将漏洞披露视为一个生态系统是非常重要的。漏洞披露的所有参与方都应认识到建立和运行互利结构的重要性,这些结构能够实现有效和高效的cvd漏洞披露。
应向参与方提供资源,良好操作实例和自愿标准。
发现者,协调方和厂商必须及时以双方都能理解的语言实现建设性沟通。
确保识别和报告漏洞的研究人员遵守《安全港协议》并受到法律保护。
大多数组织应考虑部署cvd流程,有些组织可能想实施漏洞赏金计划,但不要以干扰开发和测试阶段的其他信息的安全为代价。
虽然cvd和漏洞赏金计划可以识别某些类型的漏洞,但它们不太可能识别现代计算系统中存在的更大的结构性问题。因此,政府,学术指导和私人组织应继续投资长期性的安全研究,以识别和减轻基础漏洞带来的危害,例如设计缺陷或协议漏洞。
该报告撰写依据案头研究,查阅现有文献(学术研究、技术报告、媒体文章等)以及与漏洞披露界专家(来自学术界、漏洞赏金平台、漏洞披露计划运营商、厂商等)的访谈完成。
美拒签中国500余名理工科研究生,电气电子工程、计算机专业在列
石墨烯六大应用领域全面分析
必易微提供一站式家用空调电源解决方案
提高电子系统设计自动化的一种方法
华为发布最新的运营商IT产品及解决方案
信息安全市场的经济因素及其与漏洞披露的关系
韩国用户称 iPhone 12 mini 锁屏灵敏度出现问题
苏宁上线自家空调品牌 能走多远大家拭目以待
中国联通在5G来临之前为什么要反其道而行之
CompactRIO控制器,专用于控制和监测应用的坚固嵌入式系统
提升盈利能力 富士通拟裁员5000人重组芯片业务
你需要了解的嵌入式Linux
提高网站可用性需要真家伙,华为云网站高可用解决方案有何亮点?
5G套餐用户数远超5G手机出货量
GaN FET和ACF PWM控制器实现65W USB Type-C PD充电器
什么是调制呢?QAM的原理是什么呢?
英特尔斥资10亿美元_参与多家人工智能公司融资
论ADI中国在ADI全球市场中扮演的角色
2018年移动通信市场业务的相关数据及呈现的趋势分析
新基建下智慧城市的改变和机遇
漏洞披露中的经济学
它分析了信息安全市场的经济因素及其与漏洞披露的关系,还探讨了如何将古典经济学概念应用于该问题(公共资源的悲剧,网络效应,外部性,不对称信息和逆向选择,责任倾销,道德风险)。
enisa执行董事udo helmbrecht指出:“经济学是现代安全的关键驱动因素,而经济因素往往决定了人们解决问题时采取的方法决策。该报告完美地诠释了这一点,且为漏洞披露领域的各方行为提供了有价值的见解。”
重要见解
研究人员称:“总体而言,该研究已经产生了许多重要发现。首先,该研究表明了以cvd为主的漏洞披露形式的重要性。正如“永恒之蓝”案例中所体现的,广泛存在于软件和硬件中的漏洞可能会给全球社会造成巨大的危害,因此有必要制定一系列流程来充分识别报告、接收,分类及缓和漏洞危害。”
其他见解
将漏洞披露视为一个生态系统是非常重要的。漏洞披露的所有参与方都应认识到建立和运行互利结构的重要性,这些结构能够实现有效和高效的cvd漏洞披露。
应向参与方提供资源,良好操作实例和自愿标准。
发现者,协调方和厂商必须及时以双方都能理解的语言实现建设性沟通。
确保识别和报告漏洞的研究人员遵守《安全港协议》并受到法律保护。
大多数组织应考虑部署cvd流程,有些组织可能想实施漏洞赏金计划,但不要以干扰开发和测试阶段的其他信息的安全为代价。
虽然cvd和漏洞赏金计划可以识别某些类型的漏洞,但它们不太可能识别现代计算系统中存在的更大的结构性问题。因此,政府,学术指导和私人组织应继续投资长期性的安全研究,以识别和减轻基础漏洞带来的危害,例如设计缺陷或协议漏洞。
该报告撰写依据案头研究,查阅现有文献(学术研究、技术报告、媒体文章等)以及与漏洞披露界专家(来自学术界、漏洞赏金平台、漏洞披露计划运营商、厂商等)的访谈完成。
美拒签中国500余名理工科研究生,电气电子工程、计算机专业在列
石墨烯六大应用领域全面分析
必易微提供一站式家用空调电源解决方案
提高电子系统设计自动化的一种方法
华为发布最新的运营商IT产品及解决方案
信息安全市场的经济因素及其与漏洞披露的关系
韩国用户称 iPhone 12 mini 锁屏灵敏度出现问题
苏宁上线自家空调品牌 能走多远大家拭目以待
中国联通在5G来临之前为什么要反其道而行之
CompactRIO控制器,专用于控制和监测应用的坚固嵌入式系统
提升盈利能力 富士通拟裁员5000人重组芯片业务
你需要了解的嵌入式Linux
提高网站可用性需要真家伙,华为云网站高可用解决方案有何亮点?
5G套餐用户数远超5G手机出货量
GaN FET和ACF PWM控制器实现65W USB Type-C PD充电器
什么是调制呢?QAM的原理是什么呢?
英特尔斥资10亿美元_参与多家人工智能公司融资
论ADI中国在ADI全球市场中扮演的角色
2018年移动通信市场业务的相关数据及呈现的趋势分析
新基建下智慧城市的改变和机遇