Многие безопасные компании меряются таким параметром - качество работы их исследовательской лаборатории. Качество работы вещь измеримая и это два параметра (напоминаю, что весь этот блог это мое личное мнение):
- Скорость написания фильтров для имеющихся в мире уже известных уязвимостей.
- Производительность новых исследований и вовремя найденная уязвимость до атаки хакеров (каждая новая атака это zero day).
Первый параметр я не знаю как измерять. На практике, как правило, ты берешь конкретный CVE и смотришь - есть он в базе IPS данного вендора или нет. Есть заказчики которые так делают, но их единицы. Остальные обычно смотрят в отчет NSS Labs. NSS Labs как раз берет и присылает в IPS уже известные миру дырки и несколько неизвестных. Для этого NSS Labs сама покупает с рынка несколько новых zero day плюс где-то еще закупает уже известные эксплойты. Самая засада, что в отчете NSS Labs непонятно какие же конкретно дырки они проверяли и какие конкретно дырки конкретный IPS пропустил. Загадочный тест, но единственный в индустрии. Так что, дорогие заказчики, делайте тесты сами: берите любимую в NSS программу Tomahawk и берите pcap атак и пропускайте в тестовый IPS. Либо какой-то сканер безопасности. У меня есть PCAP если что.
Второй параметр измеряют по числу найденных zero-day. И тут все пишут у кого сколько за год. В принципе, мне приятно что я работаю в компании которая находит 200-300 уязвимостей в год благодаря проекту Zero Day Initiative (ZDI), что больше чем другие коммерческие компании, все вместе взятые. И я "с высоты полета" просматриваю кто еще чем занимается.
Сегодня меня заинтересовало PR сообщение FireEye о том, что они нашли за 2013 год 11 уязвимостей zero-day. Улыбнуло конечно :) HP ZDI где-то 270 с лишним уже нашли в 2013 году.
Из исследовательских побуждений, я решил проанализировать первую из описанных _победных_ уязвимостей, найденных FireEye: CVE-2013-3893
Если заглянуть в Technet Microsoft, то там в MS13-080 есть благодарности нам (HP ZDI) за то что мы нашли эту уязвимость и рассказали Микрософту, но ни одной благодарности в сторону FireEye.
Если заглянуть в блог FireEye, то там есть лишь анализ этой уязвимости. И да, они обнаружили что этой уязвимостью кого-то атаковали в Японии. Ну молодцы, че.
Возник вопрос: а Вы ли в FireEye нашли эту уязвимость? Доказательств того, что это именно их zero day я не нашел. И как они считают свои и не свои?
В HP TippingPoint сделали просто: написали приложение на php, которое проходит по всему Microsoft Technet и считает сколько раз Microsoft упоминало в комментариях компанию и говорило ей спасибо за помощь в поиске. Вот, например, статистика по найденным zero day для продуктов Microsoft от различных компаний.