ACM通信
的观点
为网络安全设计用户激励机制
照片:wwwuppertal;拼贴:Alicia Kubista / Andrij Borys Associates
传统的“打补丁”方法来管理软件漏洞和网络安全风险的效果不如预期。从理论上讲,一旦发现漏洞,软件补丁应该由生产商迅速开发发布,然后由用户迅速应用。这个过程的成功完成将有助于维护安全的系统。然而,在实践中一直观察到的是,这个过程反而会失败。7特别值得关注的是,目前的方法未能充分解决用户决定为其系统打补丁的经济动机。我们建议对软件生产商提供的产品(“版本”)进行简单的调整,涉及用户打补丁的权利,并讨论为什么这种改变会使打补丁的方法更有效。
我们特别主张,用户应向我们的网站收费正确的以控制自己的个别软件副本的补丁。也就是说,用户选择是否安装补丁的能力不再是一种隐含的权利。相反地,想要保留自己选择是否以及何时打补丁的能力的用户需要付出一定的代价;人们可以把这笔费用看作是造成额外安全风险(可能是暂时的)的代价,这种风险会对其他用户和软件生产商产生负面影响。如果用户选择放弃这一权利,并且不支付额外费用,他或她的系统将在安全补丁发布后立即自动更新。与之不同的是,用户可以选择是购买自动更新的“折扣”默认版本,还是购买“高级”版本,包括在自己方便的时候打补丁的权利,甚至根本不买。
虽然从表面上看,这种方法很简单,但设计一种基于激励的方法来改善网络安全是一项艰巨的任务,因为在给定的系统或网络上实现的风险水平是许多利益相关者行为的复杂结果,这些利益相关者包括政府、关键基础设施提供商、技术生产者、恶意(“黑帽”)黑客和用户。对于用户来说,当前的方法是如何失败的?40多年来,恶意软件对网络安全构成了重大挑战。20世纪90年代互联网的商业化极大地加剧了这种情况,因为数以百万计的用户开始将易受攻击的设备连接到网络上。今天,这种情况更加成问题。通常会发现终端用户的台式电脑、笔记本电脑、平板电脑和智能手机都运行不安全的系统软件和应用程序。这个问题并不局限于微软(Microsoft)这样的公司,微软已经对其Windows 7操作系统进行了数百次安全更新。全球已经有10亿部智能手机在使用,预计到2015年这一数字将翻一番。12这些设备中有许多运行的是安卓操作系统,运营商正在对其进行修改。这些设备非常不安全,美国公民自由联盟(ACLU)已经向联邦贸易委员会(FTC)提交了投诉,要求采取行动,要求供应商提供更频繁和及时的系统更新。11
但是,只有当用户真正应用补丁时,通过打补丁来降低网络安全风险的方法才会起作用。过去,许多用户缺乏足够的动机来通过应用这些补丁来正确地维护计算系统。例如,红色代码是一个臭名昭著的恶意软件,它通过利用一个特定的漏洞来攻击微软的互联网信息服务(IIS) Web服务器软件。微软已经针对这个漏洞开发了一个安全补丁,并在“红色代码”爆发大约三周前发布了它。然而,即使技术补丁公开发布,大多数用户仍未能及时修补他们的安装,近36万台服务器受到蠕虫攻击。7红色代码也不例外。类似的补丁窗口存在于SQL Slammer、Blaster和Sasser的其他高调攻击中。为了有效地解决安全问题,必须了解如何激励改进的用户行为。
用户从部署和保护运行给定软件产品的系统中获得的总价值是不同的。例如,可以考虑企业应用软件的两个用户之间的差异:一个高度重视软件支持的系统的组织,和一个只重视购买软件的组织。修补程序的一种谨慎方法涉及成本高昂的活动,包括测试、登台和将修补程序受控地推出到生产系统。由于前者从软件中获得的价值更高(例如,可能该软件支持电子商务网站),它也具有更强的经济动机来承担这些补丁成本并保护其系统。相比之下,获得较少价值的组织,其激励机制要弱得多。这样的组织不仅可能不会分配资源来遵循前面描述的广泛的补丁过程,甚至与补丁失败相关的潜在的不方便成本也可能影响它不以粗略的方式部署补丁。虽然这里描述的两种类型用户的例子提供了信息,但在现实中,有一个连续的用户在他们的补丁偏好上有所不同。但是,问题仍然存在:一些用户不太愿意打补丁,而其他使用软件完成关键任务的用户更愿意牺牲时间和资源来打补丁和保护他们的系统。
通过打补丁来降低网络安全风险的方法只有在用户真正应用补丁的情况下才会有效。
不幸的是,网络安全风险的特征是有害的网络外部性。也就是说,当用户在网络上的行为不安全时,他们会增加连接到网络的其他人面临的风险。1,2尽管如此,选择不打补丁的用户仍然可以成为经济激励的目标,使他们的保护决策与保持系统安全的目标更紧密地联系在一起。我们建议的方法是让软件生产商根据用户的补丁权限来为他们的产品定版本。我们可以从逻辑上推断这种方法将如何影响不同类型的用户。组织和其他高价值用户将选择高级版本,并根据自己的时间框架支付打补丁的权利,从而在未打补丁的情况下对其他人造成额外的安全风险。然而,由于他们打补丁的内在动机,这些用户中的大多数确实会在他们内部的、系统的过程结束时打补丁。对于那些足够重视该软件而又不足以保护自己系统的用户来说,他们现在将被迫决定,在网络环境中保持不打补丁的权利是否值得付出代价。因为他们可能属于对价格更为敏感的细分市场,他们中的许多人将不愿意支付保险费,而是让他们的系统自动更新。
考虑到人们每天都要决定是否为操作系统、Web浏览器、生产力工具、杀毒软件和一长串其他应用软件安装安全更新,针对用户行为精心设计的激励措施的影响可能是相当大的。是否会有一些消费者更喜欢微软Windows和微软Office等流行产品的折扣版本,这些产品会自动更新,不再包括解除补丁的权利,并消除部署补丁的麻烦?答案很可能是肯定的,如果这种版本控制策略可以将相当大比例的未受保护系统从现状中转换出来,那么网络安全就可以得到相当大的改善。
考虑到涉及到的所有利益相关者,我们推荐的基于补丁权限的版本方法也面临反对意见。用户可能会争辩说,他们应该被赋予选择是否打补丁的权利。如果没有这个权利,他们将被迫承担与失去控制、系统重新启动,甚至由于设计不良的补丁导致的系统不稳定相关的不便成本。这些担忧是有根据的,而且在对Windows XP Service Pack 2并不遥远的记忆中也得到了强调。然而,我们认为社会关注应该倾向于改善安全。事实上,类似的权衡也存在于其他环境中,在这些环境中,产品和服务的“用户”通常被要求保护他人的利益。例如,大多数州要求儿童在被允许上学前接种疫苗。同样,许多州要求车主定期对车辆进行检查,并可能进行纠正,以达到排放标准。在我们的案例中,我们提倡一种更温和的方法。用户可以始终保留选择是否使用补丁的能力——强制要求是不必要的。 What is important is that users internalize the cost of causing greater security risk as is reflected through a higher price for retaining patching rights.
软件生产商可能会拒绝我们的建议,因为他们要么会因为这些不便的成本而失去低端客户,要么会被迫降价以保持他们成为付费用户。虽然这可能是真的,但基于以下几个原因,生产者可能也会发现对补丁权限进行版本控制是有益的。首先,组织和其他高端用户将从更安全的软件中获得更大的价值。如果未打补丁的数量大幅减少,这些组织在进行打补丁过程所需的时间中将承担更少的安全风险。对于这种较低的风险,软件供应商可以收取更高的价格,这有助于弥补与放弃补丁权限的用户群体相关的收入损失。第二,软件生产商经常提出的理由是,如果没有应用补丁,他们不应该为安全漏洞负责,因为他们提供了补丁。5通过提供更好的经济激励,例如他们所支持的补丁方法实际上会导致更安全的结果,软件生产商可以通过责任等手段来加强他们反对政府干预的论点。未来的研究有机会使用软件生产商面临的决策问题的经济模型来正式检查这些权衡;这样的研究可以产生有用和重要的见解。
我们的方法有一个值得注意的风险,那就是黑帽黑客的反应。与其他经济主体一样,“黑帽”通常发现,对安全补丁进行反向工程,并开发攻击来利用这些补丁旨在修复的漏洞,成本更低。从这个意义上说,黑帽利用了这样一个事实:用户缺乏部署补丁的动机,导致了大量可利用的人群。我们推荐的方法可能会迫使黑帽将他们的工作转向其他工作,例如寻找未知的漏洞并利用它们进行零日攻击。值得注意的是,根据他们暴露的攻击偏好,这些努力似乎以同样的经济回报为代价。因此,他们的努力可能会部分减少。然而,零日攻击可能会造成相当大的经济损失。在预测黑帽的反应时,组织和终端用户都必须调整他们的深度防御策略,这样从一个拥有补丁权限的世界获得的经济收益不会被出现的“均衡”状态的损失所掩盖。更多内源性黑帽行为的研究有助于更好地预测实际结果。
美国政府可能会强烈支持我们概述的方法。包括美国国家科学基金会(NSF)在内的几个联邦机构已经认识到,需要创新政策来帮助减少美国目前面临的安全风险4,8除了奥巴马总统制定网络安全框架的行政命令外,商务部还被指示确定何种类型的经济激励措施将具有成本效益,有助于促进该框架的采用,以及是否可能需要额外的立法。9政府似乎隐含地倾向于a自愿的改进网络安全的方法。例如,在过去的十年中,软件生产商是否应该为其用户由于糟糕的安全性而遭受的经济损失负责一直在激烈辩论,但政府几乎没有采取立法行动。6,10从本质上讲,这个想法是,让微软这样的公司承担责任最终会损害它的底线,从而最终为加大投资以使其产品更安全提供激励。这一结果可能确实如此。但是,其他不受欢迎的结果肯定会出现。特别是,微软可能会做出战略选择来限制其责任。做到这一点的一种方法是服务更少的用户,因为较小的用户网络对应着由于网络外部性而降低的安全风险。具体地说,当表现出不安全行为(例如不保护其个别系统)的用户较少时,所有软件用户都能从安全性方面受益。在一项责任政策下,微软反过来会因为不支付足够多的钱来弥补用户的损失而受益。如果责任政策的后一种效果很强,微软实际上可能会减少它的投资和/或提高它的价格以实现更小的用户群体。3.
相反,软件生产商开始基于补丁权对其产品进行版本控制的方法似乎在政府、软件生产商和用户的利益之间取得了平衡。与政府强加的责任不同,这种方法更符合政府迄今试图推动利益相关者获得更好的网络安全结果的方式。此外,与软件生产商希望避免的责任计划相比,针对用户的激励措施来保护他们的机器可能是一种更直接和有效的方法。事实上,如果生产商能够从用户那里收取更高的价格,因为用户喜欢安全性的提高,从而提高生产商的盈利能力,就有可能实现双赢,从而大大提高软件对社会的经济价值。
参考文献
1.安德森(R. Anderson)和摩尔(T. Moore):信息安全经济学。科学314,(2006), 610 - 613。
2.August, T.和Tunca, T.网络软件安全和用户激励。管理科学52(2006), 1703 - 1720。
3.August, T.和Tunca, T.谁应该负责软件安全?网络环境下责任政策的比较分析。管理科学57(2011), 934 - 959。
4.国防部,国防部网络空间作战战略(2011);http://www.defense.gov/news/d20110714cyber.pdf.
5.T. EC希望软件制造商对代码负责。ZDNet(2009)。
6.安全软件责任的两种观点:使用正确的法律工具。IEEE安全与隐私,(2003), 73 - 75。
7.摩尔博士,香农,C.和布朗,J.代码-红色:一个关于网络蠕虫传播和受害者的案例研究。在ACM SIGCOMM/USENIX互联网测量研讨会论文集(2002), 273 - 284。
8.国家科学基金会。安全可靠的网络空间(SaTC)项目征集NSF 12-596(2012);www.nsf.gov /酒吧/ 2012 / nsf12596 / nsf12596.pdf.
9.奥巴马,B.改善关键基础设施网络安全的行政命令。白宫新闻秘书办公室,华盛顿特区,2013年。
10.关于安全软件责任的两种观点:让法律系统来决定。IEEE安全与隐私,(2003), 70 - 72。
数字图书馆是由计算机协会出版的。版权所有©2014 ACM股份有限公司
没有发现记录