趨勢科技 Zero Day Initiative (ZDI) 漏洞懸賞計畫蟬聯漏洞公開揭露領導地位

ZDI 連續第 15 年持續擴大漏洞揭露市場領導地位

【2022 年 8 月 10 日台北訊】全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 歡慶 Zero Day Initiative (ZDI) 漏洞懸賞計畫的最新成果,根據市場研究機構 Omdia 指出,ZDI 揭露的漏洞占 2021 年全球通報漏洞總數量近 64%。

請點選以下連結來取得這份完整報告「2022 年量化公開漏洞市場」(Quantifying the Public Vulnerability Market: 2021 Edition):https://www.trendmicro.com/explore/omdia-research

趨勢科技漏洞研究資深總監 Brian Gorenc 表示:「自 2007 年第一份市場分析報告開始即領先群雄的 ZDI,至今已連續第 15 年持續擴大其漏洞揭露領導地位。我們的漏洞研究不論是預先揭露或事後揭露,在全球無出其右。在與駭客永無止境的競賽當中,我們驕傲地帶領業界以建立一個更安全的數位世界而努力。」

繼續閱讀

《2016年漏洞回顧》漏洞攻擊套件為何仍使用較舊的漏洞?

我們經常會看到漏洞攻擊套件使用較舊的漏洞,因為這些漏洞仍然存在於被攻擊的系統上。另外,勒索病毒會去利用漏洞攻擊套件來作為主要的感染媒介。

趨勢科技2016年的資安綜合報告 – 「企業威脅創紀錄的一年」中,我們討論了這一年的漏洞發展形勢和所看到的趨勢。

讓我們來看看在2016年間發生的一些重點。

  1. 趨勢科技的零時差計畫(ZDI)在3,000多名獨立漏洞研究人員的支持下,披露了 678個漏洞。可以從下圖看出一些有意思的趨勢:

  • 首先是微軟產品的漏洞在持續減少中。這是個好消息,但對微軟來說不大好的消息是 Edge 漏洞增加了2,100%。這在 2017年的 Pwn2Own 大會中得到進一步的證明,因為 Edge 是競賽中被漏洞攻擊最多的瀏覽器。
  • 其次是整體 Adobe 的漏洞數量下降,不過 Acrobat Reader 在 2016 年被披露的漏洞最多。
  • 零時差攻擊(在修補程式發布前就有針對漏洞的攻擊出現)數量在 2016 年比 2015 年下降。這是個好消息,但我們最近也看到了美國中情局被駭事件,可能有許多零時差漏洞攻擊尚未被披露。
  • Android漏洞數量大幅地增加(206%)。趨勢科技研究人員在 2016 年向 Google 提交了 54 個安全漏洞。
  • 在2016年被披露的 SCADA(資料採集與監控系統)漏洞增加了421%,鑒於對這些設備進行更新的困難度,這對廠商來說會是件頭痛的事。

繼續閱讀

趨勢科技慶祝 TippingPoint 併購一週年,完成包括團隊及技術整合的多項重大里程碑

【2017年3月16日,台北訊】今年三月,全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 從 Hewlett Packard Enterprise 手中併購 TippingPoint 公司已屆滿一週年。在組織整合的第一年當中,趨勢科技不僅展現了無比的執行力與業務無縫接軌能力,更在產品創新方面發揚光大,讓新的 TippingPoint 交出比去年成長 25% 的業績,並進一步提升市場領導地位。趨勢科技 TippingPoint 最近更在 2017 年「Gartner 入侵防護系統神奇象限」報告當中榮獲「願景完整性」與「執行力」雙重領導者地位[1]。不僅如此,趨勢科技也在 2016 年 NSS Labs 新一代入侵防護系統 (NGIPS) 測試當中榮獲「推薦」的評價。

趨勢科技明瞭組織整合只許成功不許失敗,因此特別簽下了 300 多名原 TippingPoint 員工以確保 2,500 多家 TippingPoint 大型客戶的服務絕不出現斷層。今年三月,該團隊已順利遷進完善且擁有先進研發實驗室的德州奧斯汀新辦公室。

過去這一年,由於 TippingPoint 業務穩定的發展,使得趨勢科技得以延續其創新歷史。TippingPoint 產品不僅更上層樓,而且與趨勢科技原本的產品完美整合,更加鞏固趨勢團隊在企業網路資安市場的地位和名聲。例如,TippingPoint 的 NGIPS 已與趨勢科技 Deep Discovery 進階威脅防護技術整合,形成一套更強大的 Network Defense 網路防禦解決方案。今年一月,TippingPoint 率先成為第一家提供 100 Gbps 封包檢查吞吐量獨立式 NGIPS 解決方案的廠商,讓資料中心和企業網路能享有低延遲高效能的防護。今年二月,TippingPoint 更導入機器學習技術,成為第一家率先採用機器學習技術在透通模式 (in-line) 即時偵測及攔截攻擊的獨立式 NGIPS 廠商。過去 12 個月當中,趨勢科技申請了 16 項有關機器學習在資安情報應用領域的最新專利。

TippingPoint 的加入也帶來了領先業界的強大資安情報與漏洞研究能力,包括:Digital Vaccine® Labs (DVLabs) 數位疫苗實驗室與 Zero Day Initiative (ZDI) 漏洞懸賞計畫。ZDI 在過去一年當中妥善揭露了 678 漏洞,涵蓋 48 家廠商的產品,此外目前仍在處理當中漏洞的還有將近 400 個。趨勢科技因為能夠提早掌握這些尚未公開的漏洞,因而能夠預先為客戶提供零時差防護。

繼續閱讀

世界駭客大賽Pwn2Own – 永遠不知道有那些新研究將會揭開面紗

 

 

在過去十年的世界駭客大賽Pwn2Own競賽中,不同的人會對此競賽產生不同的感情。它曾被稱為是對瀏覽器的大屠殺,雖然沒有真人倒地。它曾幫人開創自己的事業,或至少,幫他們成就惡名。它被指責同時摧毀了粉絲跟黑特的心。同樣地,在比賽史上沒有粉絲或黑特真的受傷,但內心就不敢保證了。

過去十年來,Pwn2Own已經成為安全研究的根源

更有甚者是指責Pwn2Own不過是個 Security theater (維安劇場) – 只是場精采的秀,但沒有真正出現什麼。但實際上恰恰相反。在過去十年來,Pwn2Own已經成為安全研究的根源。

不只是因為在Pwn2Own上所使用的漏洞都很複雜(當然它們也的確複雜)。這計畫所披露的幾個漏洞都得到社群的讚賞,如Pwnie大獎。除此之外,在Pwn2Own所出現的漏洞也驅動了其他研究,最終讓廠商提出了解決方案。例如在數年前,釋放後使用(UAF, use-after-free)漏洞被用來攻擊瀏覽器,特別是Internet Explorer。結果導致許多研究人員找出UAF漏洞並將其回報給零時差計畫(ZDI)。UAF狂潮讓微軟引入了隔離堆積(Isolated Heap)和記憶體保護(MemoryProtection)等安全措施來防止這些UAF漏洞被利用。這些讓ZDI研究人員去深入研究問題並找出解決方案。這些結果提交給微軟的安全獎勵計畫 – Mitigation Bypass Bounty,並獲得了125,000美元的獎金(全部捐給了慈善機構)。

如果沒有Pwn2Own,UAF會如此熱門嗎?有可能,但被運用在競賽中肯定帶動了這方面的研究,結果就是更加安全的瀏覽器。當然,我們不只是看到了UAF。這些年來已經出現過各種類型的漏洞,而這些漏洞都在比賽出現後變得更加常見(或至少更加流行)。像是沙箱逃脫(sandbox escape)、連接點竄改(junction point manipulation),繞過控制流防護(CFG bypass)和字體濫用(font abuse)都曾如此過。 繼續閱讀

HP因為瓦聖納協定修改而取消了駭客競賽

本該在東京PacSec大會舉行的Pwn2Own駭客競賽,HP因為最近瓦聖納協定修改所帶來的法律問題而退出,讓日本失去了最大贊助商。瓦聖納協定(Wassenaar Arrangement)是管制軟體漏洞攻擊碼的國際條約。根據活動組織者Dragos Ruiu,HP及其零時差計畫(ZDI)因為日本參與瓦聖納協定而決定取消活動。此一決定是在幾個月前與美國法律及合規專家協商後所決定。HP此決定的主要原因是需要即時將研究結果從研究人員轉到HP ZDI再到受影響廠商手上。

bug 漏洞攻擊

 

什麼是瓦聖納協定(Wassenaar Arrangement)?

瓦聖納協定是傳統武器及軍商雙用品和技術的多邊出口控制機制。此協定的主要目的是防止傳統武器(如鈾)的流出,並避免它們進入會拿來對付自己國民或鄰國的政權手上。在2013年,該協定進行修改,將網路監控系統包含在內,導致新的技術像是侵入性惡意軟體、侵入性漏洞攻擊碼及網路監控系統也都包含在出口管制下。

去年,瓦聖納協定將網路武器加入清單,限制安全研究人員披露漏洞並提供概念驗證程式碼以換取獎金,因為有許多安全廠商都提供了漏洞獎金。 繼續閱讀