獨立研究機構 Omdia 指出 2020 年 ZDI 通報的漏洞數量占全球 60.5%
根據獨立研究機構 Omdia 最新一份研究調查指出,趨勢科技的 Zero Day Initiative (ZDI) 漏洞懸賞計畫揭露了全球 60.5% 的漏洞。ZDI 連續 13 年維持全球最大非限定廠商獨立漏洞懸賞計畫的地位,不論在任何嚴重等級的漏洞當中,ZDI 皆擁有最多通報數量,而重大或高嚴重性漏洞的通報數量則占 77%。
這份名為「2021 年量化公開漏洞市場」(Quantifying the Public Vulnerability Market: 2021 Edition) 的報告完整評估了 11 家全球最活躍的資安研究與漏洞揭露機構。閱讀 完整報告 。
趨勢科技漏洞研究資深總監 Brian Gorenc 表示:「近期 Microsoft Exchange Server 的事件再次突顯出漏洞仍是資安威脅防禦前線人員最大的核心挑戰。這正是為何我們堅持提供獎勵來持續鼓勵研究人員發掘並負責任地揭露漏洞,因為全球使用者都將因此而受惠,尤其是趨勢科技 TippingPoint 的客戶,更能在廠商正式釋出修補更新之前 81 天就預先獲得防護註一。」
此次 Omdia 評估了 11 家機構於 2020 年揭露的 1,365 個已確認非重複漏洞。其中,ZDI 揭露的漏洞就占了 825 個,足足是第二名數量 (242 個) 的三倍以上。今年 ZDI 的市場涵蓋率也較去年擴大 8.2%,更進一步強化其產業領導地位。
這份報告也肯定 ZDI 的 Research Rewards 研究獎勵方案,此方案類似航空公司累積里程方案,讓研究人員可累積獎勵點數與紅利,因此更願意與 ZDI 長期配合。
Omdia 首席分析師 Tanner Johnson 指出:「所有獨立研究人員發現的漏洞數量加起來都還不到趨勢科技的一半。ZDI 廣泛鑽研各類服務的漏洞,對於網路及 PDF 軟體的漏洞更是不遺餘力,而這正是企業資安的重要關鍵。」
趨勢科技 ZDI 成立於 2005 年,此計畫提供豐厚的漏洞懸賞獎金來激勵研究人員,是以負責任方式揭露漏洞的市場先驅。至今已累積通報 7,500 多個漏洞給受漏洞影響的廠商,全球已有 1 萬名以上研究人員曾經獲得懸賞獎金,累積發放獎金更是超過 2,500 萬美元。 註一:根據2020年統計資料,趨勢科技 TippingPoint 的客戶能在廠商正式釋出修補更新之前 81 天就預先獲得防護。
連續第13年在漏洞披露數量上獲得領先地位
根據Omdia對漏洞披露市場的研究,趨勢科技的零時差計畫(ZDI)連續第13年在漏洞披露數量上獲得領先地位。
在11家廠商裡,ZDI披露了2020年 60.5%的漏洞。此一持續的領導地位確保了我們的客戶擁有業界最佳的漏洞研究,幫助他們對抗惡意份子利用漏洞進行的攻擊。
Omdia深入研究了11家廠商披露的所有漏洞,確認了2020年的1,378個,其中ZDI披露了825個。
深入剖析回報的漏洞,ZDI 漏洞賞金計劃對大多數漏洞都揭示了嚴重程度(重大、高、中、低)。
更令人印象深刻的是,這825個漏洞中有633個的嚴重等級為重大或高。這顯示了10,000名外部研究人員的價值,他們向漏洞賞金計畫提交了高價值漏洞。這確保了受影響作業系統和應用程式的常見企業軟體廠商可以提供修補程式給客戶,讓惡意份子無法利用這些漏洞。
整體來說,所有廠商都加強了對較高嚴重等級漏洞的支援,整體CVSS平均分數剛好超過了7.6,處於「高」等級。
趨勢科技客戶能從ZDI受益的原因之一是內部共享漏洞資訊,讓多種解決方案(包括TippingPoint、Cloud One、Apex One和Worry-Free Business Security)能夠撰寫入侵防護(IPS)規則。
我們的TippingPoint客戶還多了一項好處:比任何人都更早拿到針對提交給ZDI漏洞的入侵防護(IPS)規則,更早得到保護。在2020年,這代表平均在廠商發布修補程式前81天,TippingPoint客戶就已經能夠抵禦針對這些漏洞的攻擊。
除了預先支援披露的漏洞外,趨勢科技研究中心還有研究已披露漏洞的專家,確認這一年所披露的眾多重大漏洞。該團隊還會進行逆向工程並分析漏洞攻擊方式,來為客戶開發入侵防護(IPS)規則。
這樣的組合使得趨勢科技能夠提供前所未有、無與倫比的弱點和漏洞攻擊研究。
ZDI將會持續改善,確保我們的客戶和整個世界不管是現在和將來都能夠免於漏洞攻擊侵害。
@原文出處:ZDI Tops Omdia Vulnerability Disclosures Again 作者:Jon Clay