Эксплойтами в последнее время торгуют не только сторонние специалисты по ИБ, которые их выявляют в чужих продуктах, но и сами разработчики этих продуктов. Учитывая, что цены на уязвимости "нулевого дня" доходят до нескольких сотен тысяч долларов, прибавка к зарплате рядового программиста получается вовсе не рядовая.
Подробнее о проблеме можно почитать здесь . Но ситуация для ИТ-компаний, в общем-то, не самая приятная. Спецслужбы за бешеные деньги скупают уязвимости, и популярный софт может в обозримом будущем стать фигурантом какого-нибудь неприятнейшего шпионского скандала. И, самое неприятное, исправить уязвимость заранее и обезопасить себя от репутационных потерь практически невозможно, потому что программисты специально продают эту информацию спецслужбам.
Что делать? Правильно, поможет DLP. Достаточно просто с помощью того же "Контура информационной безопасности" отследить факт передачи кому-либо за пределами разрабатывающей тот или иной софт компании информации о содержащихся в указанном софте уязвимостях. Опять-таки, если сильно захочется заработать, то сделать это уже сможет сама компания, а не злостный инсайдер:) Но, думаю, большинству компаний важнее риски для своей репутации, которые они смогут подобным образом заметно уменьшить.
Кстати, что интересно, но ИТ-компании не очень-то активно используют DLP-системы (во всяком случае, по моим наблюдениям). Дескать, программисты не одобрят и разбегутся. А напрасно - не мешало бы проверять этих изнеженных работников клавиатуры, привыкших, что работодатель заглядывает им в рот и гладит по головке. Думаю, если копнуть, то мы найдем немало утечек, в которых виноваты программисты...
Р. Идов,
аналитик компании SearchInform