漏洞懸賞計畫激勵資安研究,全面提升客戶與產業安全
全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 慶祝其 ZDI 漏洞懸賞計畫邁入第 20 週年。ZDI 是全球最大、最成功的非限定廠商漏洞懸賞計畫,自 2005 年起,ZDI 透過漏洞懸賞獎勵與全球道德駭客競賽,持續推動軟體漏洞的負責任揭露。
瞭解有關趨勢科技 ZDI 漏洞懸賞計畫™的更多資訊,請至:https://www.trendmicro.com/zh_tw/zero-day-initiative/about.html
趨勢科技營運長 Kevin Simzer 表示:「我們最優先的目標,是協助客戶採取主動的資安防禦策略。ZDI 漏洞懸賞計畫是我們對抗網路犯罪分子的最佳利器之一,也是業界獨一無二的存在。目前業界尚未有其他廠商能像我們一樣,這麼早就爲客戶提供防護。」
趨勢科技 ZDI 是全球漏洞研究與揭露的領導者。根據 Omdia 指出,2024 年,ZDI 幫助負責任地揭露了全球 73% 的漏洞,比所有其他參與廠商的總和還多。
這些新發現漏洞背後的研究,能確保趨勢科技的客戶在零時差攻擊發生前就獲得虛擬修補程式。這些虛擬修補通常比官方廠商釋出的更新早超過兩個月。而 ZDI 的貢獻更不限於趨勢科技客戶,它也讓整個數位世界更安全——透過協助軟體廠商在威脅攻擊者利用漏洞之前,就先將其修復。
該計畫起初源自於一個樸實的構想,於 2005 年由 3Com 旗下的 TippingPoint 所創立。其理念很簡單:透過金錢獎勵,鼓勵資安研究社群發掘常見產品中的零時差漏洞,並負責任地通報給相關廠商,協助其強化產品安全性。
如今廣為人知的 Pwn2Own 大賽於 2007 年首次舉辦,提供研究人員一個互相較勁、與時間賽跑的機會,在預先指定的產品類別中尋找零時差漏洞 (zero-day)。
趨勢科技在 2016 年併購 TippingPoint 之後,成為 ZDI 的管理者。今日,該計畫擁有超過 450 名專職研究人員,分布於全球 14 個威脅情報中心,並匯聚了超過 19,000 名漏洞研究人員所組成的廣大社群。
ZDI 漏洞懸賞計劃的重點成果包括:
• ZDI 研究人員發現,針對著名的 Stuxnet 蠕蟲所利用的 LNK 漏洞修補更新,實際上未能有效發揮作業。透過他們的研究,微軟在原始修補程式發布五年後,才得以推出新的修補版本。
• ZDI 研究人員獲頒來自微軟的 12.5 萬美元獎金,主要因爲發現一項能繞過微軟在 Internet Explorer(IE) 中實作的防禦機制的技術。該獎金全數捐作慈善用途,而這項技術新穎獨特,甚至獲得專利認可。
• 一名 ZDI 研究人員在 Apple 的 Windows 版 QuickTime 軟體中發現了兩項零時差漏洞,使 Apple 最終停止支援該產品。ZDI 積極呼籲使用者盡快解除安裝 QuickTime。
• ZDI 的研究成果多次協助中斷政府的隱密行動,其中包括多次針對烏克蘭發動攻擊的 Black Energy APT。
• 一名 ZDI 研究人員於 2023 年榮獲 Pwnie 頒發的「最被低估的研究」獎,表彰其發現全新的一種攻擊類型:啟動內容快取投毒 (activation context cache poisoning)。
