信息安全市场的经济因素及其与漏洞披露的关系

欧盟的网络安全机构ENISA在深入研究了漏洞披露的问题后发布了一份报告，该报告说明了影响漏洞披露者行为的经济因素，奖励机制和动机，此外，还就最近披露的高危漏洞（“熔断”，“幽灵”和“永恒之蓝”）做了案例分析，并说明了整个经过。

漏洞披露中的经济学

它分析了信息安全市场的经济因素及其与漏洞披露的关系，还探讨了如何将古典经济学概念应用于该问题（公共资源的悲剧，网络效应，外部性，不对称信息和逆向选择，责任倾销，道德风险）。

ENISA执行董事Udo Helmbrecht指出：“经济学是现代安全的关键驱动因素，而经济因素往往决定了人们解决问题时采取的方法决策。该报告完美地诠释了这一点，且为漏洞披露领域的各方行为提供了有价值的见解。”

重要见解

研究人员称：“总体而言，该研究已经产生了许多重要发现。首先，该研究表明了以CVD为主的漏洞披露形式的重要性。正如“永恒之蓝”案例中所体现的，广泛存在于软件和硬件中的漏洞可能会给全球社会造成巨大的危害，因此有必要制定一系列流程来充分识别报告、接收，分类及缓和漏洞危害。”

其他见解

将漏洞披露视为一个生态系统是非常重要的。漏洞披露的所有参与方都应认识到建立和运行互利结构的重要性，这些结构能够实现有效和高效的CVD漏洞披露。

应向参与方提供资源，良好操作实例和自愿标准。

发现者，协调方和厂商必须及时以双方都能理解的语言实现建设性沟通。

确保识别和报告漏洞的研究人员遵守《安全港协议》并受到法律保护。

大多数组织应考虑部署CVD流程，有些组织可能想实施漏洞赏金计划，但不要以干扰开发和测试阶段的其他信息的安全为代价。

虽然CVD和漏洞赏金计划可以识别某些类型的漏洞，但它们不太可能识别现代计算系统中存在的更大的结构性问题。因此，政府，学术指导和私人组织应继续投资长期性的安全研究，以识别和减轻基础漏洞带来的危害，例如设计缺陷或协议漏洞。

该报告撰写依据案头研究，查阅现有文献（学术研究、技术报告、媒体文章等）以及与漏洞披露界专家（来自学术界、漏洞赏金平台、漏洞披露计划运营商、厂商等）的访谈完成。