NSS Labs предлагают Международный проект по закупке уязвимостей

Ежедневно исследователи обнаруживают новые уязвимости, но если они решат продать их по высокой цене, нет никаких гарантий, что покупатель будет использовать информацию в благих целях.

Для устранения возможностей злоупотребления уязвимостями, особенно в случаях критических zero-day, компания NSS Labs, занимающаяся исследованиями информационной безопасности и консалтингом, выдвинула инициативу о покупке багов.

"Настало время лишить доступа злоумышленникам к новым уязвимостям путем систематического приобретения информации о них на уровне или выше цен черного рынка", написали исследователи NSS Labs Стефан Фрей (Stefan Frei) и Франсиско Артес (Francisco Artes) в своем докладе "International Vulnerability Purchase Program".

Фрей и Артес обнаружили, что расходы на приобретение всех уязвимостей поставщика незначительны по сравнению его с доходами в те же сроки. Кроме того, они обнаружили, что расходы на приобретение этих уязвимостей являются номинальными, сравнивая его с ожидаемыми убытками, понесенными в результате преступлений.

"Если все уязвимости для всех продуктов приобретаются за USD $ 150 000 каждый, то это по-прежнему будет составлять менее 0,01 процента от годового ВВП для США или ЕС. А расходы для основных поставщиков программного обеспечения, составят меньше одного процента от своих доходов", пишет Фрей и Артес.

NSS Labs предлагают Международный проект по закупке уязвимостей