The Economics e White Hat Nature di NSS ExploitHub

5

Questa domanda riguarda il modello economico impiegato da NSS con il proprio marketplace exploit di ExpoitHub ( link del sito ) e se con Jives il cappello bianco rivendica la compagnia. La società ha fatto notizia questo mese offrendo centinaia di dollari per l'armamento di una dozzina di vulnerabilità note ( offerta aziendale ).

Questo modello di business sembra essere una variante della tanto attesa soluzione del Santo Graal di creare un mercato per i buoni che si auto-perpetuano e un vantaggio per tutti coloro che sono interessati a una maggiore sicurezza. La società cita H.D. Moore (primo collegamento sopra) e altri a sostegno del concetto. La sua citazione suggerisce che questa attività di armamento è benigna perché si concentra solo sulle vulnerabilità non-zero-day. Nella stampa, il CTO di eEye Marc Maiffret ( link ) fornisce un commento più negativo lungo la stessa linea di pensiero" Se sei un'azienda sfruttata da vulnerabilità note, la tua sicurezza non sta facendo il suo lavoro. "

Gli stati NSS sono che solo da 15.000 a 17.000 vulnerabilità note note hanno exploit disponibili in Metasploit e che questa lacuna rappresenta una grande opportunità per gli scrittori di exploit per supportare la comunità dei test delle penne. Il sito stesso offre agli autori degli exploit il 30% delle entrate e la vendita di exploit non verificati per un massimo di $ 1.500 ciascuno.

Chi pagherebbe $ 1.500 per un singolo exploit specifico? Un semplice controllo della sicurezza che identifica la vulnerabilità non servirebbe allo stesso scopo passivamente di un tester di penetrazione di terze parti che dimostra la debolezza attiva del suo attacco acquistato? Se è così, è giunto il momento di suggerire che le persone che acquistano tali exploit potrebbero non indossare questi cappelli bianchi o mi manca qualcosa di importante?

    
posta zedman9991 12.10.2011 - 17:26
fonte

1 risposta

1

Penso che tu sia assolutamente sulla buona strada. L'unico uso per un exploit sviluppato per una vulnerabilità nota è dimostrare a un cliente non credente che può essere fatto.

La stragrande maggioranza dei test di penna per un cliente maturo è di confermare / confutare la loro postura di sicurezza. Fanno il loro lavoro, proteggono e induriscono l'architettura, le piattaforme e le applicazioni e poi eseguono un test di penetrazione per vedere se hanno perso qualcosa o configurato male.

Anche quando i nostri test prendono in considerazione l'escalation e la vulnerabilità, lo scenario usuale è:

  • Esegui test esterni: controlla quali vulnerabilità esistono
  • Da punto su DMZ esegui test assumendo che gli aggressori battano il tuo primo livello
  • Dal punto sulla rete principale esegui test per vedere cosa può fare un utente malintenzionato interno o chi ha passato i tuoi livelli esterni

Mentre i team di test si divertono molto a testare che consente loro di eseguire una suite completa end to end, diventano sempre più rari, in quanto non è economicamente conveniente per il client.

L'ipotesi chiave deve essere la seguente: se esiste un exploit che potrebbe fornire a un utente malintenzionato un modo utile per raggiungere un obiettivo di alto valore, sarà essere arma- to e finanziato da gruppi che possono pagare molto di più di persone come NSS.

In pratica, una volta nota la vulnerabilità, è necessario proteggerla fino a quando non viene emessa una patch (utilizzare altri controlli attenuanti) e quindi applicare una patch. L'exploit vero e proprio non è necessariamente così importante.

    
risposta data 13.10.2011 - 10:12
fonte

Leggi altre domande sui tag