網路資安威脅
趨勢科技 Zero Day Initiative (ZDI) 漏洞懸賞計畫 2023 年績效
趨勢科技 Zero Day Initiative (ZDI) 漏洞懸賞計畫 2023 年績效讓我們一窺威脅追蹤與資安風險防範的世界。
趨勢科技 Zero Day Initiative (ZDI) 漏洞懸賞計畫成立已將近 20 個年頭,是全球最大非限定廠商漏洞懸賞計畫。這項計畫成立的目的,是希望能將駭客在攻擊中運用零時差漏洞的方式攤在陽光下,同時協助廠商發掘並修補這些漏洞,使漏洞能在漏洞攻擊市場上消失。多年來,ZDI 做出了不少貢獻,將許多漏洞通報給各式各樣運算領域的廠商。我的好友 (也是我的同事) Dustin Childs 經常定期撰寫部落格來討論該計畫的最新消息,他最近發表了一篇有關 ZDI 的一些 2023 年統計數字,您可以到這裡閱讀這篇部落格。本文主要聚焦在 ZDI 為我們的客戶、產業以及全世界帶來了什麼貢獻。
- 2023 年 ZDI 總共揭露了 1,913 個漏洞 (較 2022 年約增加 10%),其中有四分之三都被判定為重大或高嚴重性漏洞。ZDI 的價值在於搶在駭客之前,預先為全世界揭露大量原本可能被駭客攻擊的漏洞 (如果他們發現的話)。發現重大或高風險的漏洞是一件可喜的事,因為這些重大/高風險漏洞更有可能為廠商和客戶帶來麻煩。根據 Qualys 指出,2023 年,高風險漏洞從發現到被用於攻擊的平均大約是 44 天的時間。
- 在 2023 年的所有漏洞中,有 7% 至 8% 是由 ZDI 所揭露。2023 年全世界總共大約發布了 27,000 個 CVE 漏洞,而 ZDI 揭露了其中的 1,913 個。儘管這比例看起來很小,但卻證明 ZDI 對於將漏洞從漏洞攻擊地下市場下架確實發揮了作用。
- 2023 年,Microsoft 發布的所有漏洞當中,有 20% 是由 ZDI 所提供。這證明 ZDI 為 Microsoft 以及任何使用 Microsoft 產品的人都帶來了價值。當我們在分析漏洞攻擊地下市場時,我們發現 Microsoft 產品囊括了 47% 駭客想要的漏洞。所以,駭客想找的漏洞攻擊手法有半數都是關於 Microsoft,而市場上販賣的漏洞攻擊手法,也有 51% 是針對 Microsoft 產品。ZDI 為 Microsoft 貢獻了 20% 的漏洞,意味著我們很早就得知這些漏洞,也因此能為我們的客戶預先提供虛擬修補來保護他們,在正式的修補更新釋出之前預先防止他們遭到漏洞攻擊。2022 年,ZDI 平均能提早在漏洞揭露前的 79 天為我們客戶提供防護。
- Microsoft 是 2023 年 ZDI 揭露漏洞數量排名第 2 的廠商 (第 1 名是 Adobe)。同樣地,在 Adobe 去年收到的所有漏洞當中,有 78% 是由 ZDI 所貢獻。這證明 ZDI 能為像 Microsoft 和 Adobe 這樣的龍頭廠商帶來價值,保護他們的軟體。2022 年,ZDI 平均能提早在 Adobe 漏洞揭露的 39 天前為我們的客戶提供防護。
- ZDI 揭露了 198 個零時差漏洞,這意味著 ZDI 所揭露的漏洞,廠商可能為了某種因素而未提供修補。這或許聽起來不妙,但其實有一些原因。主要的原因是 ZDI 希望確保全世界都知道這些漏洞存在,但同時也希望促使廠商將漏洞公開。很多時候,我們會通知廠商我們所要揭露的漏洞,然後他們最後還是會修補這些漏洞。
- ZDI 所揭露的漏洞有將近 50% 是來自趨勢科技的內部研究人員,證明了我們在漏洞研究領域的專業能力越來越強。我們的漏洞研究在全世界無人能出其右,證明我們正大力投資這塊領域以確保能持續維護世界安全。不論是透過 ZDI 提供揭露前支援,或是我們內部研究人員在揭露後分析已知的漏洞,我們都能保護客戶、防範最新的零時差漏洞或 N 日漏洞攻擊。
- 我們的漏洞研究的廣度從 Pwn2Own 駭客競賽就能看出端倪:2023 年的競賽聚焦在汽車、關鍵基礎設施、家庭自動化以及商業軟體等幾個領域。這些競賽匯集了來自全球各地的頂尖研究人員一同較勁,爭奪獎金與眾望所歸的駭客大師 (Master of Pwn) 頭銜。許多廠商都參加了這些活動,並與研究人員密切合作,確保自己了解漏洞的內涵以便開發對應的修補。我們對於這些活動的持續支持,證明我們對於參加比賽並貢獻新漏洞給該計畫的外部研究人員,也給予同樣的支持。去年,ZDI 在所有 Pwn2Own 活動中支付了超過 2 百萬美元的獎金給研究人員。
如您所見,ZDI 這些年來一直在不斷成長,並且是漏洞揭露領域的一股持續力量。以下分享該計畫所帶來的一些整體貢獻:
- ZDI 對社會大眾的貢獻就是能夠從內部和外部研究人員獲得高品質的漏洞,其中 78% 是 2023 年被列為重大與高嚴重性的漏洞。
- ZDI 會協助受影響的廠商管理漏洞揭露流程,讓廠商負責任地修補他們的漏洞,將可能被駭客用於攻擊的漏洞消除。目前,駭客將新漏洞變成攻擊武器的時間,一年比一年縮短。
- 趨勢科技對於客戶及合作夥伴的整體貢獻是,我們會聚焦他們所使用的關鍵軟體,並針對關鍵的應用程式提供更高的獎金作為誘因。我們會在漏洞揭露之前預先提供虛擬修補給客戶 (確切來說是 TippingPoint 和 Cloud One Network Security 的客戶),平均約在廠商釋出修補更新之前的 70 多天左右。如此可確保任何現有的漏洞或新漏洞在套用正式修補更新之前就能預先獲得趨勢科技的防護。
如您所見,即使您不知道 Zero Day Initiative 的存在,該計畫依然是隱身幕後的無名英雄,為這世界提供迫切需要的服務。像 Microsoft 和 Adobe 這樣的廠商都非常讚揚他們所做的努力,也感謝他們的大力支持。不僅如此,ZDI 還是向 ICS-CERT 通報最多漏洞的單位,這有助於保護我們的關鍵基礎設施,這些設施向來就是全球駭客的攻擊目標。該計畫同時也是趨勢科技整體研究的重要一環,讓我們有能力支援這個世界。若您希望獲得有關 ZDI 的更多資訊,請參閱 ZDI 的網站,在這裡,您將找到更多有關他們揭露的漏洞、即將揭露的漏洞,以及其他資訊。