政府增加“网络武器”支出对软件行业可能产生什么影响?

信息安全 零日 脆弱性市场
2021-09-06 05:05:04

从今年的会议现场和新闻来看,政府机构在所谓的“网络武器”上的支出似乎有所增加。这些武器的一个关键组成部分是 0-day 漏洞,可用于访问可能不会存在可利用漏洞的系统。

这反过来又为政府的 0 天销售创造了贸易和市场价值(显然可能相当高)​​,许多公司涌现以促进销售。

虽然我已经看到了很多关于这对一般安全性影响的讨论,但我对软件开发行业的影响还没有看到太多,我很感兴趣人们认为这种趋势会发生的地方有影响。

到目前为止我的想法

  • 现在,开发人员有动机故意将缺陷引入软件(或不修补它们),以便他们可以将有关此缺陷的知识出售给第三方。
  • 软件公司可能会面临压力,要求他们不修补军方在“网络空间”行动中积极使用的问题。
  • 软件供应商可能会发现很难将其出售给本国以外的政府,因为他们假设他们将按照政府机构的要求设置后门或留下可利用的缺陷未修补。
2个回答

我认为最有可能的结果是在友好政府的要求下延迟修复补丁。考虑:

  1. 故意引入缺陷并不是一件容易的事。该组织中的任何人都可以查看代码并发现缺陷——因此细节可能会泄露。
  2. 继续第一点,如果缺陷给客户带来问题,那对公司来说就是不好的代表。
  3. 其他行业已经存在保护主义。
  4. 我假设政府会粗略检查他们安装的内容,以防万一。
  5. 政府可能会将气隙用于任何重要的事情。如果气隙得到适当维护,这将降低漏洞被利用的可能性。

所有这一切都归结为一件事:对于希望帮助政府的软件公司来说,最糟糕的做法是让他们找到漏洞,然后不为商定的窗口修补它,特别是如果它不会引起任何问题。

寻找能够获得许可计划的人将成为当务之急,就像在航空航天/国防行业一样,寻找能够进行工程获得许可的人是当务之急。

有许可的枯木人将有工作保障。

某种(人的)认证和软件的“飞行认证”将是常见的,但这只是另一个毫无价值的圈套。如果认证软件的成本变得足够高,所有进展都会停止,就像商用飞机一样。

其它你可能感兴趣的问题
上一篇存储信用卡号码的新 iOS 钥匙串有多安全? 下一篇基于卡的木马破解PCI终端