TippinPoint推展革命性的安全弱點發現計畫

利用安全研究資訊確保快速而有效的新威脅防護，阻絕ZERO Day零時差攻擊

3Com及旗下的領先業界入侵預防方案部門TippingPoint宣佈展開一項零時差計畫，目的是確保且負責任的揭露軟體或是作業系統的安全缺失，亦即大家習慣稱呼的安全弱點 (Vulnerability)，讓使用者享有更安全的科技。零時差計畫的目標是要盡可能在最快的時間內，主動保護企業對抗新發現的安全防護漏洞。

　　3Com將在這項計畫之下，獎賞發現並負責任地揭露新弱點資訊的安全研究人員。相對於只是公佈潛在的威脅資訊而讓企業和廠商毫無防備的作法，3Com將會通知受安全缺失影響的廠商，讓他們能夠立即開發解決方案(通常是以patch程式的形式提供)。唯有當受影響的廠商能夠為終端使用者提供方案舒緩威脅時，3Com才會公佈安全弱點資訊。3Com也將利用這些資訊並透過其TippingPoint的數位疫苗(Digital Vaccine)補丁更新服務，為客戶提供優先的保護。再者，3Com也計畫在公開資訊之前，和其他安全廠商分享詳細的軟體/作業系統弱點資訊。

　　3Com TippingPoint Division亞太區營運總監葉精良表示：「我們希望透過這項計畫，確保新發現的軟體漏洞及弱點都能在第一時間管理、發現和修補，因此能避免其對企業構成威脅。我們越早得知某一安全漏洞的資訊，就能越早為我們的客戶提供保護。最後，所有的人都將因此受益，包括安全和科技廠商、安全研究人員、終端使用者、以及3Com和TippingPoint的客戶。」

　　軟體漏洞讓攻擊者能夠控制一台系統以遂行其惡意目的。它們也可能演變成蠕虫病毒或拒絕服務攻擊，導致整個網路當機。如果安全弱點的發現者在沒有通知廠商的情形下公開相關資訊，則在資訊公開日到廠商提供patch程式的期間內，將使得企業暴露於安全威脅下。廠商通常需要數星期或甚至數月才能供應patch程式。

　　入侵預防系統(Intrusion Prevention Systems; IPS)，例如TippingPoint的產品，屬於能夠提供主動保護的少數方法之一。 3Com TippingPoint非僅可以藉由取得先期的軟體漏洞及弱點資訊以降低整個業界的安全風險 (如 SANs, Cert., Bugtrap, SecurityFocus, NSA …等) ，並且於同一時間能夠為其TippingPoint IPS客戶提供即時的數位疫苗補丁更新服務的保護 – 我們稱之虛擬軟體弱點補丁 (Virtual Software Patch) 技術。

　　3Com TippingPoint部門安全研究室領導人David Endler表示：「我們的世界級安全研究團隊已定位在業界的前鋒，遙遙領先進階軟體漏洞保護競賽。這項計畫將更進一步擴充我們的研發組織，並且讓我們能夠運用全球安全研究社群最頂尖的人才智慧。在廠商提供解決方案或patch修補程式之前，我們的客戶將能透過數位疫苗補丁服務獲得全方位的保護。」

　　許多安全研究人員都希望他們的發現能獲得肯定，但是他們並非都能以負責任的方式達成這個目的。藉由這項計畫，研究人員的成就將會在軟體弱點或作業系統漏洞資訊與廠商patch程式公開時獲得肯定。

　　In-Stat研究分析師Victoria Fodale表示：「3Com的計畫對業界而言具有正面意義。目前大部分的駭客利用廠商尚未察覺的軟體弱點進行病毒或蠕虫攻擊，將會對企業組織造成毀滅性的破壞。廠商和客戶都將受惠於這項計畫。3Com及其TippingPoint部門將因此一領導性的計畫而獲得最高的讚賞。」

詳細資訊請參觀www.zerodayinitiative.com。

關於TippingPoint
TippingPoint屬於3Com資安部門，是領先業界的網路入侵預防系統(IPS)方案供應者，為企業、政府機關、服務供應商和學術機構提供深入的應用保護、基礎設施防護和效能確保。TippingPoint的創新方案為客戶提供無與匹敵的網路安全性和經濟效益、超強效能、延展性和可靠性。網址www.tippingpoint.com。