NSS ExploitHub 的经济学和白帽性质

信息安全 渗透测试 恶意软件 审计
2021-09-05 08:15:33

这个问题是关于 NSS 在其 ExpoitHub 漏洞利用市场(站点链接)中采用的经济模型,以及它是否符合公司的白帽声明。该公司本月通过提供数百美元的赏金来武器化十几个已知漏洞(公司报价)而成为新闻。

这种商业模式似乎是期待已久的圣杯解决方案的变体,即为好人创建一个市场,这将是自我延续的,对所有对增强安全性感兴趣的人来说都是双赢的。该公司引用 HD Moore(上面的第一个链接)和其他人来支持这一概念。他的引述表明这种武器化活动是良性的,因为它只关注非零日漏洞。在媒体中,eEye 的首席技术官 Marc Maiffret(链接)提供了一个更负面的评论,同样的思路是“如果您是一家被已知漏洞利用的公司,那么您的安全性就没有发挥作用。”

NSS 指出,在 15,000 到 17,000 个已知的关键漏洞中,只有 1,000 个在 Metasploit 中有可用的漏洞利用,这一差距为漏洞利用编写者提供了支持渗透测试社区的绝佳机会。该网站本身向漏洞利用作者提供 30% 的收入,并以每个高达 1,500 美元的价格出售未经验证的漏洞利用。

谁会为一个特定的漏洞支付 1,500 美元?识别漏洞的简单安全审计与第三方渗透测试人员通过购买的攻击主动展示弱点的目的不一样吗?如果是这种情况,那么是时候建议购买此类漏洞的人可能不戴这样的白帽子,还是我错过了一些重要的东西?

1个回答

我认为你绝对是正确的。针对已知漏洞的开发利用的唯一用途是向不相信的客户证明它可以完成。

绝大多数成熟客户的渗透测试是为了确认/驳斥他们的安全态势。他们完成自己的工作,保护和强化架构、平台和应用程序,然后运行渗透测试以查看他们是否遗漏了任何内容或配置错误。

即使我们的测试考虑了升级和漏洞链接,通常的情况是:

  • 运行外部测试 - 查看存在哪些漏洞
  • 假设攻击者击败您的第一层,从 DMZ 运行测试开始
  • 从核心网络开始运行测试,看看内部攻击者或通过外层的攻击者可以做什么

虽然测试团队真的很喜欢让他们端到端运行完整套件的测试,但他们越来越少了,因为它对客户来说并不具有成本效益。

关键假设必须是:如果存在可以为攻击者提供进入高价值目标的有用途径的漏洞利用,它将被武器化,并由支付远远超过 NSS 之类的人的团体资助。

实际上,一旦已知漏洞,您应该保护直到补丁出现(使用其他缓解控制)然后修补。实际利用本身并不一定那么重要。

其它你可能感兴趣的问题
上一篇如何保护我的广告空间免受广告覆盖浏览器附件的影响? 下一篇NTFS 备用文件流在您的组织中是否被视为安全风险?它是如何减轻的?