web-dev-qa-db-ja.com

アプリケーションの脆弱性のコストを見積もる方法は?

VerizonとPonemon Instituteによる多くの調査と研究を含む違反のコストに関するデータを見てきました。しかし、実際の脆弱性に関して、コストを決定するために考慮すべき要因は何ですか?

私が念頭に置いていたものは次のとおりです。

  1. リスク要因:SQLインジェクションと反映されたXSS
  2. 手動または自動スキャナーで検出するコスト
  3. 開発時間の観点から修正にかかる費用
  4. コンプライアンス監査の失敗につながる脆弱性に関連するコスト

セキュリティおよびリスク管理の専門家は、脆弱性のコストをどのように決定しますか?

8
Epoch Win

コストは脆弱性からではなく、リスクからです。つまり:

  • vulnerabilityは、情報資産を危険にさらすために悪用される可能性があるものです(例:バッファオーバーフロー)。
  • 脅威は、情報資産(たとえば、何らかの方法でそのようなアクションの恩恵を受ける既存の攻撃者のグループ)をスヌープまたは損傷しようとするコンテキスト要素です。
  • A リスクは、脅威が脆弱性に出会い、うまく仲良くなり、結婚し、子孫を持つ場合です。

costは、リスクを伴うあらゆることに適用されるものです。たとえば、リスクを無視するコストは、おおよそ、リスクの顕在化に起因する損害のコストです。一方、バッファオーバーフローを修正するコストは、脆弱性を取り除くため、純粋に開発と展開のコストです。リスク管理の技術は、是正措置と受容の適切なバランスをとることです(「適切なバランス」は、組織に依存するリスク管理目標に関連しています)。

ボトムライン:コストはあなたが何をすべきかに関するものであり、多くのコンテキスト要素、特に脅威に依存します。コンテキストを考慮せずに意味のあるコストの概念を推定することはできません。 脆弱性、またはリスクにコストを割り当てることはできません;コストはactionsのセットのプロパティです(「何もしない」はそのようなセットなので、いくつかのコストはalways発生します)。

8
Tom Leek

エクスプロイトのコストを固定するには、通常、ビジネスユーザーとの(多くの)ミーティングが必要であり、結局のところ、それは単なる知識に基づく推測です。サービス拒否攻撃による4時間のビジネス中断のコストを見積もることができるかもしれませんが、Webサイトの改ざんなどの場合、管理者や広報担当者とチャットして、被害を特定する必要があります。評判とそれを修正するコスト。注目すべきもう1つのことは、攻撃のコストだけでなく頻度です。簡単な攻撃であれば、毎日または1時間ごとに発生する可能性があるため、実際のコストを得るには、攻撃のコストに頻度を掛ける必要があります。

脆弱性を検出するコストを違反のコストとして含めません。 ITのような別のマネーバケットまたは特に情報セキュリティのマネーバケットにあるはずなので、セキュリティホールを積極的に検索する必要があります。

1
Four_0h_Three

私はこれが古いことを知っていますが、検索中にまだGoogleで見つけたので、ここに私の意見があります。今日、複数のバグ報奨金プログラムがあり、明らかに理由により、受け取った情報とデータの重みを測定する必要があります倫理的ハッカーから提供し、顧客に提供します。

誰もが知っているように、情報は抽象的であるため、測定が難しい資産です。ただし、特定のテーマについてより多くの経験やトレーニングを行っているため、経験の少ない専門家よりも、多くの情報や経験を持つ専門家に通常より多く支払います。

セキュリティ上の欠陥のコストまたは価格を見積もるには、いくつかの異なる側面を考慮する必要があります。私が説明しようとするもの:

1)自動化ツールを使用しているかどうかに関係なく、それほど重要ではないと思います。本質的に、自動化ツールを使用して検出できる種類のセキュリティ欠陥は影響を及ぼします。これは、プラットフォームまたは影響表面が、発見および特定が難しいものに比べて小さく、制限されているためです。

2)支払われるべきセキュリティ上の欠陥は、通常、大きな表面を公開または侵害する欠陥または脆弱性です。つまり、多くのユーザーを公開する脆弱性、または多くのデータを公開する脆弱性です。

3)これは需要と供給によって支配されるため、これを正確に決定する方法はありませんが、一般的に言えば、次のように結論付けることができます。

3.1)影響を受けるユーザーが多いほど、脆弱性の費用は高くなります。

3.2)公開される情報が多いほど、脆弱性の費用は高くなります。

対照的に、誰も使用していないソフトウェアで、リスクが低く、影響の少ないセキュリティの欠陥を見つけても、$ 0 USDの価値はないと言えます。

そして、多くのユーザーからの多くの情報を危険にさらす脆弱性は、一般に+ $ 100,000 USDの値札で報われるでしょう。

大企業の直接的なビジネス継続性リスクを表す脆弱性についても同様です。これらの脆弱性は一般的に非常に報われるか、非常によく支払われます。

これは、大企業や闇市場での経験を持つ倫理的ハッカーとしての私の個人的な意見に他なりません。

いくつかの参照については、このチャートをご覧ください。

- $2,000,000 - Apple iOS remote jailbreak (Zero Click) with persistence (previously: $1,500,000)
- $1,500,000 - Apple iOS remote jailbreak (One Click) with persistence (previously: $1,000,000)
- $1,000,000 - WhatsApp, iMessage, or SMS/MMS remote code execution (previously: $500,000)
- $500,000 - Chrome RCE + LPE (Android) including a sandbox escape (previously: $200,000)
- $500,000 - Safari + LPE (iOS) including a sandbox escape (previously: $200,000)
- $200,000 - Local privilege escalation to either kernel or root for Android or iOS (previously: $100,000)
- $100,000 - Local pin/passcode or Touch ID bypass for Android or iOS (previously: $15,000)

- $1,000,000 - Windows RCE (Zero Click) e.g. via SMB or RDP packets (previously: $500,000)
- $500,000 - Chrome RCE + SBX (Windows) including a sandbox escape (previously: $250,000)
- $500,000 - Apache or MS IIS RCE i.e. remote exploits via HTTP(S) requests (previously: $250,000)
- $250,000 - Outlook RCE i.e. remote exploits via a malicious email (previously: $150,000)
- $250,000 - PHP or OpenSSL RCE (previously: $150,000)
- $250,000 - MS Exchange Server RCE (previously: $150,000)
- $200,000 - VMWare ESXi VM Escape i.e. guest-to-Host escape (previously: $100,000)
- $80,000 - Windows local privilege escalation or sandbox escape (previously: $50,000)

それで、最も安いものと最も高いものは何が共通しているか?攻撃面、潜在的な情報の漏洩、関連するリスク。

1
Chris Russo

誰が見積もりをしているのかによります。

あなたがソフトウェア生産者である場合、コストは脆弱性を修正するためのコストです。成熟したリスク管理の実践に向けて努力している場合、脆弱性が売上に影響を与える場合は、ビジネスの損失のコストを追加します。これらの費用をあなたに割り当てる保険または規制制度がない限り、次の段落の費用は無視してください。

あなたが消費者であれば、標準的で単純化された確率xの影響で十分かもしれません(粗雑でエレガントではありませんが、十分です)。違反のコストを把握する-脆弱性が攻撃者によって悪用された場合にどうなるか(これは、最悪のケースと最も可能性の高いケースに応じて範囲になります)。次に、攻撃者が脆弱性を利用できる確率。たとえば、最悪の脆弱性であっても、エアギャップのある1台のサーバーでのみ発生する場合、その影響は限定的です。リスク値の範囲を計算するには、ドルの値x確率を掛けます。

成熟したリスク管理手法を模索している場合は、前の段落の分析をサポートするためのデータが必要です(または積極的に収集している必要があります)。

あなたが健康や安全のコミュニティにいるなら、あなたはこれを計算する方法をすでに確立しているはずです。

0
Mark C. Wallace