面对层出不穷的系统产品漏洞问题,漏洞通报平台成为解决零时差漏洞的一种手段。在趋势科技今日(8月23日)举办的CloudSec大会,上午大会主题议程中,零时差计划(Zero△Day△Initiative,ZDI)资安计划经理Shannon△Sabens,也在现场分享了全球资安漏洞的最新趋势。她指出,ZDI已是全球最大漏洞悬赏计划,同时也举办了Pwn2Own与Mobile△Pwn2Own的奖励竞赛,对于近年漏洞趋势的演变,他们提醒,在行动及联网时代应重视漏洞防御机制,至于漏洞目标,在企业软件之外,也要关注的重点包括工控系统、虚拟化软件与浏览器。
为了鼓励发掘未知零时差漏洞及更早修补,ZDI在全球已累积不小的能量,Shannon△Sabens表示,目前他们与3,500个独立研究人员合作,其中表现活跃的研究人员有100到200位,提供厂商漏洞情报以即时更新修护,同时也包括他们本身的专案研究团队DVLab。
他们主要是希望借由实质的奖励,提供赏金购买漏洞,让资安研究人员可以循正当管道,将零时差漏洞通报相关厂商。也许还是有人没听过ZDI,其实该计划始于2005年,趋势科技在2015年并购HP△TippingPoint,也包含了该公司发起的这个零时差计划(ZDI)。当然,这个漏洞悬赏计划不仅发挥了全球研究人员的力量,搜集各式漏洞情报,并找出最新漏洞攻击方法与产业趋势,同时,趋势科技也借由这样的专业情报与技能,强化自家Smart△Protection△Network△的全球云端威胁情报网。
Shannon△Sabens指出,据Frost△Sullivan统计报告,在2017年经由ZDI发现并确认的漏洞数量,占了全球总数66.3%,居所有漏洞悬赏计划之冠。
其实回顾往年的数据,ZDI持续在漏洞通报上名列前茅,并有明显增长的趋势,比起2016年的54%,2015年的49.1%更高。
显然,ZDI在找出漏洞问题变得越来越有份量。而且,ZDI其实也具备发布CVE漏洞编号的资格,目前仅有两个漏洞奖励计划,是CVE△Numbering△Authority(CNA)的成员。
对于近期的资安漏洞趋势,ZDI也从近年的漏洞研究报告,观察到4个重点。Shannon△Sabens指出,首先,企业软件的漏洞数量持续上升;第二点,随着IoT应用发展,工业控制环境SCADA系统漏洞被关注的比例也增加;第三点,浏览器上的即时编译器(JIT)弱点所带来的漏洞成为焦点;最后则是虚拟化软件漏洞慢慢浮现。
另一方面,为了鼓励找出零时差漏洞,Shannon△Sabens提到,ZDI本身也举办了Pwn2Own与Mobile△Pwn2Own两项年度白帽骇客竞赛,鼓励研究人员挖掘常用软件漏洞,为供应商与用户提供零时差的情报防护。
在Pwn2Own竞赛方面,今年ZDI主要的5大竞赛类别,包括虚拟机器逃脱、浏览器、企业应用程序与伺服器,以及Windows△Insider△Preview挑战;在Mobile△Pwn2Own方面,锁定的目标除了Apple△iPhone△7、Samsung△Galaxy△S8、Google△Pixel,他们最新还增加了华为Mate9 Pro。Shannon△Sabens并指出, ZDI观察到有越来越多参与者是以小组方式加入竞赛。
而从这些竞赛的类别,其实也可以看出他们所关注的漏洞问题与面向。
特别的是,在最近8月,他们也针对特定目标发布弱点揭露奖励计划,主要针对Joomla、Drupal、WordPress、NGINX、Apache△HTTP△Server、Microsoft△IIS,分别提供2万5千美元到20万美元的奖励。
在今日的公开议程之外,我们也经由昨日的媒体团访活动,向Shannon△Sabens提出ZDI的相关问题。例如,ZDI将漏洞通报给供应商时,是否有联系不到的情况,她表示,的确有这样的状况,但他们会极尽所能,通过各种方式与对方联系,但如果对方没有在期限内做出相应的修补,或是不认为那是漏洞,他们还是将漏洞揭露公开发布。但她也说明,漏洞奖励计划的主要目的,还是希望促进供应商更新修补。也意味着供应商应要有更积极的态度,才能同心协力降低零时差漏洞的问题。至于通报供应商家数,她表示在50到100家左右。
另外,对于那些已通报ZDI,但还未到公开期限的漏洞,ZDI是如何做到防护。Shannon△Sabens也直说,像是她的笔电在外出时,就不能连回公司取得相关资料,而他们的同仁也都会在隔离的环境处理这些通报漏洞。
iThome△Security
I 相关 / Other
英特尔处理器漏洞连环爆,微软为最新版Windows释出修补程式码
示意图,与新闻事件无关。 图片来源: 微软 英特尔(Intel)CPU接二连三爆出Spectre、Foreshadow等重大安全漏洞,令企业修补不及,微软周四对Windows△10 1803、Windows△Server△1803版本释出包含修补多项漏洞的In
图片来源: McAfee McAfee△Labs本周指出,知名的电脑周边制造商Belkin所生产的智慧插头Wemo△Insight△Smart△Plug含有一缓冲区溢位漏洞,将允许骇客执行远端程式攻击。Belkin除了制造电脑及手机的周边商品之外,也有
示意图,与新闻事件无关。 图片来源: 飞利浦 美国国土安全部旗下的工业控制系统网络紧急应变小组(ICS-CERT)周二警告,飞利浦IntelliSpace△Cardiovascular心血管影像及资讯管理系统出现两项漏洞,可能导致任意程
腾讯与香港医思医疗合作 计划香港开设20家全科诊所 | 香港 UNWIRE.HK 玩生活.乐科技
香港医思医疗集团宣布,与腾讯旗下北京企鹅医院管理有限公司 (企鹅医生) 签订战略合作框架协议,联手在香港开设全科诊所。图片来源:美通社据医思医疗集团公布的资料,是次合作将以医疗 AI 为基础。而企鹅医生将会为
资安一周第5期:WordPress曝露于远端程式攻击风险中。处理器再爆L1TF漏洞,云端服务商纷纷进行修补
2009年曾有研究人员揭露PHP反序列化潜藏的风险,最近英国资安公司Secarma再揭露PHP的反序列化漏洞,成功开采该漏洞,可攻陷WordPress与Typo3内容管理平台,执行远端程式攻击。(图片来源:Secarma) 0816-0822一定