圖片來源: 

趨勢科技

面對層出不窮的系統產品漏洞問題,近年來崛起的漏洞通報平臺,成為發現漏洞的一種手段。在趨勢科技今日(8月23日)在臺舉辦的CloudSec 2018企業資安高峰論壇,上午大會主題議程中,零時差計畫(Zero Day Initiative,ZDI)資安計畫經理Shannon Sabens,也在現場分享了全球資安漏洞的最新趨勢。她指出,ZDI已是全球最大漏洞懸賞計畫,同時也舉辦了Pwn2Own與Mobile Pwn2Own的獎勵競賽,對於近年漏洞趨勢的演變,他們呼籲,在行動及聯網時代應重視漏洞防禦機制,而且應特別注意工控系統、虛擬化軟體與瀏覽器等層面的安全性。

為了鼓勵發掘未知零時差漏洞及更早修補,ZDI在全球已累積不小的能量,Shannon Sabens表示,目前他們與3,500位獨立研究人員合作,其中表現活躍的研究人員有100到200位,提供廠商漏洞情報,以便即時更新修護,同時,也包括他們本身的專案研究團隊DVLab。

他們主要是希望藉由實質的獎勵,提供賞金購買漏洞,讓資安研究人員可以循正當管道,將零時差漏洞通報相關廠商。也許還是有人沒聽過ZDI,事實上,ZDI始於2005年,由TippingPoint發起,該公司歷經HP、趨勢科技併購,接連支援了這個零時差計畫(ZDI)。而此漏洞懸賞計畫匯聚全球研究人員的力量,蒐集各式漏洞情報,進而發掘產業趨勢與最新漏洞攻擊方法,並且是以不限廠牌漏洞,發掘高危險性重大漏洞為目標。同時,趨勢科技也藉由這樣的專業情報與技能,強化自家全球雲端威脅情報網,亦即Smart Protection Network。

零時差計畫(Zero Day Initiative,ZDI)資安計畫經理Shannon Sabens,在CloudSec現場分享了全球資安漏洞的最新趨勢,同時提及ZDI在去年發現並確認的漏洞數量,在Frost & Sullivan統計報告中居第一,並佔全球總數66.3%

Shannon Sabens指出,據Frost & Sullivan統計報告,在2017年經由ZDI發現並確認的漏洞數量,佔了全球總數66.3%,居所有漏洞懸賞計畫之冠。其實回顧往年的數據,ZDI持續在漏洞通報上名列前茅,並有明顯增長的趨勢,比起2016年的54%,2015年的49.1%,一年比一年高。

顯然,ZDI在找出漏洞問題變得越來越有份量。而且,ZDI其實也具備發布CVE漏洞編號的資格,目前僅有兩個漏洞獎勵計畫,是CVE Numbering Authority(CNA)的成員。

對於近期的資安漏洞趨勢,ZDI也觀察到4個重點。首先,企業軟體的漏洞數量持續上升;第二,隨著IoT應用發展,工業控制環境SCADA系統漏洞被關注的比例也增加;第三,瀏覽器上的即時編譯器(JIT)弱點所帶來的漏洞成為焦點;最後則是虛擬化軟體漏洞慢慢浮現。

為了鼓勵找出零時差漏洞,ZDI也藉由發起漏洞獎勵比賽,讓他們的通報頻率能有穩定的來源。像是,ZDI本身也舉辦了兩項年度白帽駭客競賽,也就是Pwn2Own與Mobile Pwn2Own,鼓勵研究人員挖掘常用軟體漏洞,為供應商與用戶提供零時差的情報防護。

而從每年競賽的類別,其實,也可看出各界最新關注的漏洞問題與面向。像是今年在虛擬機器、企業應用程式與網站方面的競賽,就與上述他們觀察到的資安漏洞趨勢相關。

Shannon Sabens表示,在Pwn2Own競賽方面,今年ZDI主要的5大競賽類別,包括虛擬機器逃脫、瀏覽器、企業應用程式與伺服器,以及Windows Insider Preview挑戰;在Mobile Pwn2Own方面,鎖定的手機平臺除了Apple iPhone 7、Samsung Galaxy S8、Google Pixel,他們還增加了華為Mate9 Pro。Shannon Sabens並指出,有越來越多參與者,是以小組方式加入競賽。

特別的是,在最近8月,他們也針對特定目標,發布弱點揭露獎勵計畫,包括Joomla、Drupal、WordPress、NGINX、Apache HTTP Server、Microsoft IIS等常見的網站平臺,分別提供2萬5到20萬美元的獎勵。


(圖片來源:趨勢科技CloudSec 2018)

在今日的公開議程之外,我們也經由昨日的媒體活動,向Shannon Sabens提出ZDI的相關問題。例如,ZDI將漏洞通報給供應商時,是否有聯繫不到的情況,她表示,的確有這樣的狀況,但他們會極盡所能,透過各種方式與對方聯繫,但如果對方沒有在期限內做出相應的修補,或是不認為那是漏洞,他們還是將漏洞揭露公開發布。但她也說明,漏洞獎勵計畫的主要目的,還是希望促進供應商更新修補。也意味著供應商應要有更積極的態度,才能同心協力降低零時差漏洞的問題。至於通報供應商家數,她表示在50到100家左右。

另外,對於那些已通報ZDI,但還未到公開期限的漏洞,ZDI是如何做到防護。Shannon Sabens也直說,像是她的筆電在外出時,就不能連回公司取得相關資料,而他們的同仁也都會在隔離的環境處理這些通報漏洞。


Advertisement

更多 iThome相關內容