Le aziende acquistano 0 giorni sui mercati neri per risolverli?

3

È noto che le società di sviluppo software acquistano vulnerabilità di 0 giorni sui mercati neri per bruciarle?

Microeconomia mi dice "no", come alcune fonti reclamo che 0 giorni sono a corto di offerta, quindi molto costosi in questi giorni a causa di sforzi congiunti di società di sicurezza e simili, e come sappiamo da "Fight Club", "Se X [costo del fallimento] è inferiore a il costo di un richiamo, non lo facciamo. " :)

Ma immagino che potrebbe esserci qualcuno che lo fa per i clienti aziendali di alto profilo, o almeno per una trovata pubblicitaria, e non mi è capitato di scoprirlo.

Se c'è una tale compagnia, voglio conoscere la loro storia. Se non sembra esserci, sarei felice di indicarne i motivi.

    
posta vadkou 04.07.2018 - 09:35
fonte

1 risposta

4

Sì, ne conosco alcuni, ma le aziende non saranno pubbliche nei loro sforzi per cercare e acquistare 0 giorni perché: 1) se pubblicamente noti, aumenterebbe il prezzo e 2) creerebbe una maggiore domanda , il che significa maggiore incentivo per gli attaccanti a cacciare per 0 giorni, il che aumenta i rischi per l'azienda.

Ecco perché usano invece i programmi Bug Bounty. Capovolge il mercato in modo che l'azienda tragga vantaggio più direttamente senza aumentare i rischi.

    
risposta data 04.07.2018 - 09:43
fonte

Leggi altre domande sui tag