< Publications

• Papers
  • Security Econometrics
  • Security Ecosystem
  • Silent Updates
  • Insecurity Iceberg
  • 0-Day Patch Metric
  • Firefox Update Dynamics
  • Mail DDOS Attacks
• Articles
• Talks
• Press+Media

Security Econometrics - The Dynamics of (In)Security

A dissertation submitted to the ETH ZURICH for the degree of Doctor of Science

Author: Stefan Frei

DISS. ETH. NO. 18197
ISBN 1-4392-5409-5 - ISBN-13: 9781439254097

[ Book | HTML | pdf | bibtex ]

Abstract

Global Internet penetration and e-commerce have grown explosively over the past years. Today, information technology has become a backbone of our industry and everyday life. We would intuitively expect such an important technology to be well monitored and protected. However, no one would dispute that the constant discovery of new vulnerabilities drives the security risks we are constantly exposed to. As risk awareness is an essential factor in human decision making, we are in need of metrics to measure and monitor the risk exposure of our networked economy and society. Research on the economic consequences of cyber attacks has dealt primarily with microanalysis of specific events, technologies or targeted organizations. The measurement of the cumulated number of disclosed vulnerabilities over time is an interesting and often cited indicator of the increasing risk exposure. However, this measure alone is not sufficient for an analysis or understanding of the processes driving risk exposure. Accurate knowledge of the vulnerability discovery-, exploit-, disclosure-, and patch-time (the lifecycle of a vulnerability) allows one to identify different types of risk and to quantify the risk exposure and evolution thereof at global scale. A metric based on the vulnerability lifecycle is vital to better understand the security ecosystem. We build a comprehensive dataset of 30,000 vulnerabilities publicly disclosed since 1996 to reconstruct the vulnerability lifecycle. Based on this data we analyze the risk exposure and evolution thereof from a macroeconomic perspective.

KURZFASSUNG

In den vergangenen Jahren erlebten wir die globale Verbreitung Internets mit einem rasanten Wachstum von E-Commerce. Die Informations-, und Kommunikationstechnologie (ICT) hat sich zu einem tragenden Element des täglichen Lebens, sowohl im Privat- wie auch im Geschäftsbereich entwickelt. Kaum jemand bezweifelt, dass die seit über einem Jahrzehnt beobachtete pausenlose Entdeckung neuer Software-Sicherheitslücken als Haupttreiber der Sicherheitsrisiken gilt denen wir ständig ausgesetzt sind. Es fehlen jedoch noch immer Metriken die auf makroökonomischer Ebene die systematische Erfassung und Überwachung solcher Risiken der vernetzten Wirtschaft und Gesellschaft erlauben. Bislang hat sich die Erforschung der wirtschaftlichen Folgen von Cyber-Attacken in erster Linie auf die Mikroanalyse von bestimmten Einzelereignissen, Technologien oder angegriffenen Organisationen beschränkt. Die Zählung der im Laufe der Zeit entdeckten Sicherheitslücken ist eine interessante und vielzitierte Grösse zur Messung dieser wachsenden Risikoexponierung. Allerdings ist diese Metrik alleine nicht ausreichend für eine Analyse und das Verständnis der dahinterstehenden Prozesse. Genaue Kenntnisse über den "Lebenszyklus einer Sicherheitslücke (Lifecycle of a vulnerability)" geben Aufschluss über die Dauer und Art der Risiken denen wir auf globaler Ebene ausgesetzt sind. Darauf basierende Metriken sind von Interesse um das "Security Ecosystem" besser zu verstehen. Mit unserer Datenbank über 30'000 Schwachstellen die bis ende 2007 entdeckt wurden rekonstruieren wir den Lebenszyklus von Schwachstellen und messen die einhergehende Riskoexponierung. Auf der Grundlage dieser Daten analysieren wir das Risiko und identifizieren wichtige Prozesse und Trends im "Security Ecosystems" aus makroökonomischer Sicht.