Dal punto di vista del business, come esprimeresti la necessità di un gruppo di ricerca sulla vulnerabilità?
Alla fine, sarebbe irrealizzabile dal punto di vista del business a meno che le suddette imprese non lo abbiano etichettato come costo di marketing (per promuovere altri servizi) o venduto i vulns?
SCENARIO
Immagina di lavorare in una società Fortune 500 che fornisce prodotti infosec e ha più clienti.
Ogni volta che esce un nuovo CVE, creano regole snort e le implementano.
AFAIK l'unico punto vendita sarebbe letteralmente la vendita di eventuali vulnerabilità rilevate e l'utilizzo del resto come consigli interni (come Cisco Talos).
Tuttavia, con costi di opportunità sarebbe più conveniente per i ricercatori bughunt nel loro tempo libero. Ad esempio, se fuzzing per un vuln OSX / iOS, sarebbe più economico farlo nel tempo libero e ottenere l'intero importo X, piuttosto che una minore quantità in salario e forse il 20-50% del valore della vulnerabilità come un bonus.