web-dev-qa-db-ja.com

ゼロデイの見積もりはありますか?

ゼロデイ脆弱性とは、ベンダーが知らないソフトウェアの穴を指します。

ゼロデイ脆弱性は不明であるため、金額の推定は可能ですか?ゼロデイの量を推定するために考えられるシナリオは何ですか? たとえば、ゼロデイ脆弱性の購入/販売の経験に基づく

世界にはおよそ何個の未発見のバグがあり、エクスプロイトに関する既知のゼロデイ脆弱性はおよそいくつあるのでしょうか。

4
Bob Ortiz

一般に、脆弱性は研究者が発見する前に存在するため、すでに存在しているがまだ知られていない数は非常に多くなる可能性があります。エクスプロイトが存在するが、少数の人々または組織によって非公開で保持されているゼロデイを構成する既知の脆弱性については、これらの組織の多くが明白な理由で非常に秘密にされているため、知る方法はありません。ゼロデイを世界中で見つけるためにどれだけの労力が費やされたかを推測することは、これらの人々や組織がどれほど生産的であったかを推測するのは難しすぎます。

とはいえ、次のRand Corporationの論文には、あなたの質問に非常に関連する情報がたくさんあります。

ゼロ日、数千の夜「ゼロデイ脆弱性の存続時間とその悪用http://www.Rand.org/content/dam/Rand/pubs/research_reports/ RR1700/RR1751/Rand_RR1751.pdf

心に留めておくべきことは、ここ数年でファジング技術に多くの進歩があり、攻撃者にとって新しいゼロデイを見つけやすくなる可能性があることです。

3
Trey Blalock