Cybersegurança: mais fácil do se pensa Workshop 'Cibersegurança: aspectos económicos' Mário Valente Anacom 30 Setembro 2013
mvalente mfvalente@gmail.com 2/41
3/41
Agenda Cybereconomia Aplicada Assimetrias de Informação e Risco Deep Dark Web, SCADA, GPUs Sugestões 4/41
GPUs 5/41
Cybereconomia Aplicada 6/41
7/41
Source : Symantec. http://uk.norton.com/content/en/uk/home_homeoffice/html/cybercrimereport/ 8/41
Aspecto microeconómico - Qual o valor dos meus assets/network/etc? - Quanto vale a pena gastar? - atacker: incentivos - defender: investimento - vendors: preços/oferta/procura 9/41
Redução Perdas 0 Investimento 10/41
Redução Perdas Investimento Óptimo 1 de investimento leva à redução das perdas em 1 0 Investimento 11/41
Redução Perdas?????? IP Patch IDS DLP vendors 0 Investimento 12/41
Assimetrias de Informação e Risco 13/41
- mercado identico ao dos lemons (carros usados) - compradores não sabem o valor do que têm - não estão dispostos a pagar muito - os fornecedores não têm incentivo a investir - mas dizem que o que têm é muito bom (C) - bad security products drive out good ones. 14/41
Imperfeições no mercado da cibersegurança - externalidades, network effects (valor dos assets/rede), barreiras à entrada, switching costs ASSIMETRIAS DE INFORMAÇÃO (defensor vs fornecedor) (atacante vs fornecedor+defensor) 15/41
ASSIMETRIAS DE INFORMAÇÃO Muitas vezes o atacante sabe melhor do que o defensor qual é o valor dos assets (via mercado) e sabe melhor que o fornecedor qual é o valor do produto. 16/41
ASSIMETRIAS DE INFORMAÇÃO Não sabendo o valor dos assets, mesmo que este seja muito pequeno o atacante tem incentivos a explorá-los dado o custo de investimento mínimo da sua parte (tempo, conhecimento, recursos). 17/41
Deep Dark Web, SCADA, GPUs 18/41
Deep Dark Web 19/41
20/41
21/41
22/41
C2C model Criminal to Criminal 23/41
Crime as a Service Carding Spam Phishing & Bank frauds Pharma scams Counterfeiting Virtual money 24/41
25/41
26/41
Cyber Crime Business Model makes cybercrime easy and cheap LOW HANGING FRUIT 27/41
28/41
29/41
SCADA 30/41
SCADA (supervisory control and data acquisition) Stuxnet (USA vs Irão) Siemens 31/41
Something somewhere is connected to something that is connected to the Internet (www.shodanhq.com) 32/41
33/41
Say hello to ScadaMobile. Available at the App Store for only $2.99 (lite) and $74.99 for the full version 34/41
GPUs (politica de passwords) 35/41
Sugestões 36/41
Ignorar as buzzwords da cybersegurança e investir na identificação e protecção dos bens e processos mais básicos LOW HANGING FRUIT QUICK WINS 37/41
Investir de forma mais abrangente e pontualmente em riscos básicos e específicos ao invés de gastar fortunas para ficar protegido de cyberspying, cyberwar, zero day vulnerabilities, etc 38/41
There is a lot of money being made in this area which needs to be questioned because you are the ones handing it out, Billions of dollars are being spent to deal with highly unlikely advanced threats 39/41
Cyber security economics like a Ponzi scheme Once you're in, if you want out, you re going to get in trouble -Gartner 40/41
Workshop 'Cibersegurança: aspectos económicos' Cybersegurança: mais fácil atacar do que se pensa mais fácil de defender do que se pensa END