Cómo justificar una función de investigación de vulnerabilidad en una empresa

Question

Cómo justificar una función de investigación de vulnerabilidad en una empresa

#1 de J.A.K. (1 votos)

1

Desde un punto de vista empresarial, ¿cómo expresaría la necesidad de un equipo de investigación de vulnerabilidades?

Al final, ¿sería inviable desde el punto de vista de un negocio a menos que dicho negocio se considerara un costo de mercadeo (para promover otros servicios) o vendiera las vulnerabilidades?

SCENARIO

Imagine que trabaja en una compañía de Fortune 500 que ofrece productos infosec y tiene varios clientes.

Cada vez que sale un nuevo CVE, crean reglas de snort y las implementan.

AFAIK, el único punto de venta sería, literalmente, vender las vulnerabilidades encontradas y utilizar el resto como avisos internos (como Cisco Talos).

Sin embargo, con el costo de oportunidad, sería más barato para los investigadores burlarse de su propio tiempo. Por ejemplo, si se confunde para una vulnerabilidad OSX / iOS, sería más barato hacerlo en el tiempo libre y obtener la cantidad X total, en lugar de una cantidad menor en salario y tal vez 20-50% del valor de la vulnerabilidad como una bonificación.

appsec zero-day business-risk administration vulnerability-markets

pregunta grepNstepN 23.03.2017 - 15:18

fuente

1 respuesta

Lea otras preguntas en las etiquetas appsec zero-day business-risk administration vulnerability-markets

¿Puede el almacenamiento de un secreto en el cliente considerarse seguridad "suficientemente buena"? No se puede forzar HTTPS cuando se conecta al servidor proxy, aunque el puerto 443 está abierto

score 1 · Accepted Answer

Viendo como trabajas en una compañía de infosec, una palabra; prestigio. Las publicaciones de blog sobre vulnerabilidades descubiertas son oro en el ámbito de la seguridad de la información comercial.

El análisis de la causa raíz le brinda a la compañía la capacidad de mostrar su experiencia en una de las áreas más respetadas del campo. Además, como alguien que ha encontrado algunos CVE intrascendentes, me inclino a decir que hacen maravillas por la credibilidad del buscador cuando se trata de acercarse a los clientes. Si una restricción es que las vulnerabilidades encontradas en el tiempo de la compañía deben ser reveladas bajo el nombre de la compañía, proporcionará una prueba invaluable de que su compañía está en la frontera. Para un Fortune 500 esto es altamente deseable, y otros lo están haciendo también. Businesswise el impacto del CVE no es tan importante; La gente que te contrata puede saber qué es un CVE, pero usualmente no son del tipo que dice "oh, esto es solo un juego pequeño". Así que agregue un paquete Debian oscuro a AFL, algún formato multimedia oscuro a Peach, perfeccione sus habilidades gdb / WinDbg y haga un nombre por usted mismo.