Herding Vulnerable Cats: A Statistical Approach to Disentangle Joint Responsibility for Web Security in Shared Hosting

Hosting providers play a key role in fighting web compromise, but their ability to prevent abuse is constrained by the security practices of their own customers. {\em Shared} hosting, offers a unique perspective since customers operate under restricted privileges and providers retain more control over configurations. We present the first empirical analysis of the distribution of web security features and software patching practices in shared hosting providers, the influence of providers on these security practices, and their impact on web compromise rates. We construct provider-level features on the global market for shared hosting -- containing 1,259 providers -- by gathering indicators from 442,684 domains. Exploratory factor analysis of 15 indicators identifies four main latent factors that capture security efforts: content security, webmaster security, web infrastructure security and web application security. We confirm, via a fixed-effect regression model, that providers exert significant influence over the latter two factors, which are both related to the software stack in their hosting environment. Finally, by means of GLM regression analysis of these factors on phishing and malware abuse, we show that the four security and software patching factors explain between 10\% and 19\% of the variance in abuse at providers, after controlling for size. For web-application security for instance, we found that when a provider moves from the bottom 10\% to the best-performing 10\%, it would experience 4 times fewer phishing incidents. We show that providers have influence over patch levels--even higher in the stack, where CMSes can run as client-side software--and that this influence is tied to a substantial reduction in abuse levels

Computer Science 2019 APR Self-Study & Documents

UNM Computer Science APR self-study report and review team report for Spring 2019, fulfilling requirements of the Higher Learning Commission

THREE ARTICLES ON THE BEHAVIORAL ECONOMICS OF SECURITY INFORMATION SHARING: A THEORETICAL FRAMEWORK, AN EMPIRICAL TEST, AND POLICY RECOMMENDATIONS

This thesis presents a behavioral economics contribution to the security of information systems. It focuses on security information sharing (SIS) between operators of critical infrastructures, such as systemic banks, power grids, or telecommunications. SIS is an activity by which these operators exchange cybersecurity-relevant information, for instance on vulnerabilities, malwares, data breaches, etc. Such information sharing is a low-cost and efficient way by which the defenders of such infrastructures can enhance cybersecurity. However, despite this advantage, economic (dis)incentives, such as the free-rider problem, often reduce the extent to which SIS is actually used in practice. This thesis responds to this problem with three published articles. The first article sets out a theoretical framework that proposes an association between human behavior and SIS outcomes. The second article further develops and empirically tests this proposed association, using data from a self-developed psychometric survey among all participants of the Swiss Reporting and Analysis Centre for Information Assurance (MELANI). SIS is measured by a dual approach (intensity and frequency), and hypotheses on five salient factors that are likely associated with SIS outcomes (attitude, reciprocity, executional cost, reputation, trust) are tested. In the third article, policy recommendations are presented in order to reduce executional costs, which is found to be significantly and negatively associated with SIS. In conclusion, this thesis proposes multiple scientific and practical contributions. It extends the scientific literature on the economics of cybersecurity with three contributions on the human factor in SIS. In addition, regulators will find many recommendations, particularly in the area of governance, to support SIS at the legislative level. This thesis also offers many avenues for practitioners to improve the efficiency of SIS, particularly within Information Sharing and Analysis Centers (ISACs) in charge of producing Cyber Threat Intelligence in order to anticipate and prevent cyberrisks. Cette thèse présente une contribution de l'économie comportementale à la sécurité des systèmes d'information. Elle s’intéresse au mécanisme incitatif permettant de favoriser le partage de l’information utile à la cybersécurité (Security Information Sharing – SIS) entre opérateurs d’infrastructures critiques, telles que les banques systémiques, les réseaux électriques ou de télécommunications. Le SIS est une activité par laquelle ces opérateurs échangent des informations relatives aux cybermenaces, par exemple sur les vulnérabilités, les logiciels malveillants, les violations de données, etc. Ce partage d'informations est un moyen peu coûteux et efficace par lequel les défenseurs de ces infrastructures peuvent renforcer la cybersécurité. Toutefois, malgré ces avantages, les (mauvaises) incitations économiques, telles que le problème du passager clandestin, réduisent souvent l’utilité pratique du SIS. Cette thèse répond à ce problème avec trois articles publiés. Le premier article présente un cadre théorique qui propose une association entre le comportement humain et les résultats du SIS. Le deuxième article développe et teste empiriquement cette proposition d'association à l'aide des données d'une enquête psychométrique développée avec les participants de la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI). Le SIS est mesuré avec une double approche (intensité et fréquence), et des hypothèses sur cinq facteurs importants, probablement associés aux résultats du SIS (attitude, réciprocité, coût d'exécution, réputation, confiance), sont testées. Dans le troisième article, des recommandations politiques sont présentées afin de réduire les coûts d'exécution, qui s'avèrent être associés de manière significative et négative au SIS. En conclusion, cette thèse propose de multiples contributions scientifiques et pratiques. Ses résultats élargissent la littérature scientifique sur l'économie de la cybersécurité avec trois contributions sur le facteur humain dans le SIS. En outre, les régulateurs trouveront de nombreuses recommandations, en particulier dans le domaine de la gouvernance, pour soutenir le SIS au niveau législatif. Cette thèse offre également de nombreux moyens aux praticiens pour améliorer son efficacité, notamment au sein des Information Sharing and Analysis Center (ISACs) chargés de produire du renseignement sur les cybermenaces (Cyber Threat Intelligence) afin d'anticiper et prévenir les cyberrisques