Come giustificare una funzione di ricerca sulle vulnerabilità in un'azienda

Question

Come giustificare una funzione di ricerca sulle vulnerabilità in un'azienda

#1 da (1 voti)

1

Dal punto di vista del business, come esprimeresti la necessità di un gruppo di ricerca sulla vulnerabilità?

Alla fine, sarebbe irrealizzabile dal punto di vista del business a meno che le suddette imprese non lo abbiano etichettato come costo di marketing (per promuovere altri servizi) o venduto i vulns?

SCENARIO

Immagina di lavorare in una società Fortune 500 che fornisce prodotti infosec e ha più clienti.

Ogni volta che esce un nuovo CVE, creano regole snort e le implementano.

AFAIK l'unico punto vendita sarebbe letteralmente la vendita di eventuali vulnerabilità rilevate e l'utilizzo del resto come consigli interni (come Cisco Talos).

Tuttavia, con costi di opportunità sarebbe più conveniente per i ricercatori bughunt nel loro tempo libero. Ad esempio, se fuzzing per un vuln OSX / iOS, sarebbe più economico farlo nel tempo libero e ottenere l'intero importo X, piuttosto che una minore quantità in salario e forse il 20-50% del valore della vulnerabilità come un bonus.

appsec zero-day business-risk administration vulnerability-markets

posta grepNstepN 23.03.2017 - 15:18

fonte

1 risposta

Leggi altre domande sui tag appsec zero-day business-risk administration vulnerability-markets

bots bypassando il modulo e inviando direttamente tramite il servizio web Cosa cercano di fare queste richieste API sconosciute?

score 1 · Accepted Answer

Visto che lavori in un'azienda di infosec, una parola; prestigio. I post sui blog sulle vulnerabilità scoperte sono d'oro nell'ambito della sicurezza delle informazioni commerciali.

L'analisi delle cause principali dà all'azienda la possibilità di mostrare le proprie competenze in una delle aree più rispettate del settore. Inoltre, come qualcuno che ha trovato alcuni CVE insignificanti, sono propenso a dire che fanno miracoli per la credibilità del cercatore quando si tratta di avvicinare i clienti. Se una restrizione è che le vulnerabilità rilevate nell'orario dell'azienda devono essere divulgate sotto il nome della società, forniranno una prova inestimabile che la tua azienda è alla frontiera. Per una Fortune 500 questo è altamente auspicabile, e anche altri lo fanno. Businesswise l'impatto del CVE non è così importante; le persone che ti assumono potrebbero sapere che cos'è un CVE, ma di solito non sono il tipo da dire "oh questo è solo un piccolo gioco". Quindi lancia un oscuro pacchetto debian in AFL, un oscuro formato multimediale in Peach, affina le tue abilità gdb / WinDbg e fai un nome per te.