0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

信息安全市场的经济因素及其与漏洞披露的关系

pIuy_EAQapp 来源:cg 2018-12-29 10:00 次阅读

欧盟的网络安全机构ENISA在深入研究了漏洞披露的问题后发布了一份报告,该报告说明了影响漏洞披露者行为的经济因素,奖励机制和动机,此外,还就最近披露的高危漏洞(“熔断”,“幽灵”和“永恒之蓝”)做了案例分析,并说明了整个经过。

漏洞披露中的经济学

它分析了信息安全市场的经济因素及其与漏洞披露的关系,还探讨了如何将古典经济学概念应用于该问题(公共资源的悲剧,网络效应,外部性,不对称信息和逆向选择,责任倾销,道德风险)。

ENISA执行董事Udo Helmbrecht指出:“经济学是现代安全的关键驱动因素,而经济因素往往决定了人们解决问题时采取的方法决策。该报告完美地诠释了这一点,且为漏洞披露领域的各方行为提供了有价值的见解。”

重要见解

研究人员称:“总体而言,该研究已经产生了许多重要发现。首先,该研究表明了以CVD为主的漏洞披露形式的重要性。正如“永恒之蓝”案例中所体现的,广泛存在于软件和硬件中的漏洞可能会给全球社会造成巨大的危害,因此有必要制定一系列流程来充分识别报告、接收,分类及缓和漏洞危害。”

其他见解

将漏洞披露视为一个生态系统是非常重要的。漏洞披露的所有参与方都应认识到建立和运行互利结构的重要性,这些结构能够实现有效和高效的CVD漏洞披露。

应向参与方提供资源,良好操作实例和自愿标准。

发现者,协调方和厂商必须及时以双方都能理解的语言实现建设性沟通。

确保识别和报告漏洞的研究人员遵守《安全港协议》并受到法律保护。

大多数组织应考虑部署CVD流程,有些组织可能想实施漏洞赏金计划,但不要以干扰开发和测试阶段的其他信息的安全为代价。

虽然CVD和漏洞赏金计划可以识别某些类型的漏洞,但它们不太可能识别现代计算系统中存在的更大的结构性问题。因此,政府,学术指导和私人组织应继续投资长期性的安全研究,以识别和减轻基础漏洞带来的危害,例如设计缺陷或协议漏洞。

该报告撰写依据案头研究,查阅现有文献(学术研究、技术报告、媒体文章等)以及与漏洞披露界专家(来自学术界、漏洞赏金平台、漏洞披露计划运营商、厂商等)的访谈完成。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    10

    文章

    3158

    浏览量

    59745
  • 漏洞
    +关注

    关注

    0

    文章

    204

    浏览量

    15373

原文标题:为什么有些漏洞披露靠谱,有些则不靠谱?

文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    IDC预测:2013年中国IT安全市场十大预测

    根据IDC的预测,2011-2016年复合增长率将达到12.8%。随着新技术的革新与用户需求的转变,信息安全市场必将迎来新一轮竞争格局的改变。为了应对这种改变,国内外安全厂商需关注云计算、物联网
    发表于 02-19 09:21 642次阅读

    漏洞真实影响分析,终结网络安全的“狼来了”困境

    摘要: 关注网络安全的企业大都很熟悉这样的场景:几乎每天都会通过安全媒体和网络安全厂商接收到非常多的漏洞信息,并且会被建议尽快修复。尽管越来
    发表于 12-25 15:18

    中国芯片厂商积极迈进AIoT安全市场,有望打破国外企业垄断?

    芯片是信息网络新经济时代衍生的新兴行业,我国从“十五”期间开始,把研发自主信息安全领域的核心芯片作为超大规模集成电路重大专项主要内容。经过几年的发展,
    发表于 08-12 10:21

    开源鸿蒙 OpenHarmony 获得 CVE 通用漏洞披露编号颁发资质

    披露计划)建立,由来自世界各地的 IT 供应商、安全公司和安全研究组织组成。相关者可以通过唯一的 CVE编码在漏洞数据库或安全工具中快速地找
    发表于 08-17 11:34

    Intel披露一种新的CPU安全漏洞

    和年初的Meltdown(熔断)和Spectre(幽灵)漏洞类似,Intel披露了一种新的CPU安全漏洞,攻击目标是一级缓存,级别“高危”。
    的头像 发表于 08-16 17:32 3508次阅读

    长亭科技入选IDC《中国 Web 应用安全市场》潜力厂商

    Web防御技术逐渐开始向防机器人攻击、企业Web 应用治理、人工智能等方向发展。IDC认为,在当前网络攻击形势下,Web 应用安全市场快速增长的趋势将保持不变。——IDC 中国负责 IT 安全市场研究的高级研究经理王军民如是说。
    发表于 04-08 11:46 739次阅读

    到2021年,预计我国云安全市场规模将超百亿!

    安全市场迎来爆发机遇。
    的头像 发表于 05-31 16:15 3482次阅读

    安全市场中的人工智能服务“”报告是基于全球市场进行的深入研究

    该报告还提到了对安全市场中人工智能服务的当前规则,法规和政策以及产业链的深入分析。除此之外,本报告还介绍了其他因素,例如关键参与者,其产品链,这些商品的构造,需求和供应,安全市场中人工智能服务的收入和成本结构。
    的头像 发表于 10-10 11:27 2493次阅读

    MarketsandMarkets™发布的“物联网安全市场”预测数据

    推动全球物联网安全市场增长的主要因素是全球范围内对物联网设备的勒索软件攻击数量不断增加,物联网安全法规不断提高以及对关键基础架构的安全性担忧日益加剧。
    的头像 发表于 07-15 11:09 3663次阅读

    预计2023年底全球网络安全市场规模突破1200亿美元

    ,2019年,国家信息安全漏洞共享平台接收到网络安全事件报告达10.78万起。受市场需求及政府政策的推动,2019年,我国网络安全行业总收入
    发表于 07-24 17:00 724次阅读
    预计2023年底全球网络<b class='flag-5'>安全市场</b>规模突破1200亿美元

    CISA将在明年春季建立一个新的漏洞披露平台服务

    据FCW网站9月2日报道,美国管理和预算办公室(OMB)和网络安全和基础设施安全局(CISA)分别发布了备忘录和约束性操作指令《制定和发布漏洞披露政策》,指导联邦机构如何设置其
    的头像 发表于 09-04 11:13 1310次阅读

    英国发布漏洞披露工具包,以帮助公司实施改进漏洞披露

    英国国家网络安全中心(NCSC)发布了一项指南——“漏洞披露工具包”,以帮助公司实施漏洞披露流程或在已建立
    的头像 发表于 09-16 16:44 1701次阅读
    英国发布<b class='flag-5'>漏洞</b><b class='flag-5'>披露</b>工具包,以帮助公司实施改进<b class='flag-5'>漏洞</b><b class='flag-5'>披露</b>

    腾讯安全披露多个0day漏洞,Linux系统或陷入“被控”危机

    资源、数据和业务都将为攻击者所掌控。 腾讯安全对此发布中级安全风险预警,已按照Linux社区规则公开披露了其攻击路径,并建议Linux用户密切关注最新安全更新。 通过对
    的头像 发表于 11-04 17:17 2515次阅读

    全球工业互联网信息安全市场规模呈逐年上升趋势

    信息安全市场占比达到了1.9%。 全球工业互联网产品竞争格局 根据CCID的数据显示,2018年,硬件与网络产品市场占比最大,规模达到4017.1亿美元,占比达到了49.8%;其次是软件和平台
    的头像 发表于 12-14 11:43 2488次阅读

    AMD Zen2全家都有严重安全漏洞

    Google信息安全研究员Tavis Ormandy披露了他独立发现的存在于AMD Zen2架构产品中的一个严重安全漏洞“Zenbleed”(Zen在流血)。
    的头像 发表于 07-26 11:51 1845次阅读
    AMD Zen2全家都有严重<b class='flag-5'>安全漏洞</b>!