Недавно компания NSS Labs провела исследование рынка 0day-уязвимостей. Они подсчитали, сколько эксплойтов куплено в рамках открытых программ iDefense Vulnerability Contributor Program (VCP) и HP TippingPoint’s Zero Day Initiative (ZDI). За все время своей работы по сентябрь 2013 года они опубликовали информацию о 2392 уязвимостях, при этом среднее время от покупки эксплойта до публикации информации составило 133 дня для VCP и 174 дня для ZDI. Другими словами, в любой день на протяжении последних трех лет эти фирмы имели информацию, в среднем, о 58 уязвимостях в программах Microsoft, Apple, Oracle или Adobe.
Авторы аналитического отчета предполагают, что черный рынок уязвимостей примерно равен по объему «белому» рынку, хотя там эксплойты скрываются от публики дольше, чем в легальных программах. В новом отчете ”International Vulnerability Purchase Program” они объясняют, что разработчики программного обеспечения вполне могли бы повысить стоимость покупки эксплойтов и выкупать даже те, которые сейчас уходят к спецслужбам и используются злоумышленниками на черном рынке. Можно предложить цены выше рыночных. Например, если они начнут платить даже по $150 000 за каждую уязвимость, то все равно потратят на покупку уязвимостей крошечную часть своего бюджета.
В таблице показано соотношение стоимости всех эксплойтов за 2012 год (по новой цене), по отношению к доходам компании за тот же год. Даже для самой «дырявой» компании Adobe стоимость эксплойтов не превысит 0,5% годового дохода, а у других этот показатель гораздо ниже.
Компания NSS Labs считает, что стоимость покупки эксплойтов все равно меньше, чем убытки от возможных кибератак. Даже если предположить, что убытки от кибератак снизятся всего на 10%, все равно получается экономия.
Безопасность программных продуктов после этого кардинально улучшится, уверены авторы отчета, потому что каждый релиз подвергнется самой тщательной инспекции со стороны армии независимых экспертов (конечно, при стоимости эксплойта $150 тыс.). «В краткосрочном периоде производителям будет очень тяжело, — предполагает NSS Labs, имея в виду, что в первое время уязвимостей будет много. — но в долговременной перспективе это приведет к значительному улучшению безопасности программного обеспечения».
Для скупки 0day-уязвимостей в глобальном масштабе нужно открыть региональные центры сбора эксплойтов в Америке, Европе и Азии. Конечно, у компании NSS Labs есть интерес, ведь именно она предлагает свои услуги для организации работы этой системы. Тем не менее, многие независимые эксперты поддерживают программу выкупа уязвимостей на легальном рынке.
