惠普零日漏洞收购平台ZDI调整收购政策
惠普零日漏洞收购平台ZDI决定调整其漏洞收购政策和标准,将摒弃部分已有漏洞大类,增加一些拟购买的漏洞类别。
惠普ZDI平台自数年前建立伊始便跻身漏洞购买巨头行列,广为漏洞挖掘者所知。如今,ZDI决定不再购买多种类型的漏洞。这些漏洞类型包括:ActiveX控件漏洞、大部分DoS漏洞和认证后SQL注入漏洞。不过,ActiveX控件漏洞购买策略中有一个例外,那就是:数据采集与监控系统(SCADA)相关的ActiveX控件漏洞依然位列ZDI漏洞收购菜单之中。
ZDI是首家成功的企业级漏洞购买项目,并对业界产生了广泛的影响。同时,它还是老牌安全会议CanSecWest组织的全球顶尖黑客技术挑战赛Pwn2Own的主要赞助商,多年来为赛会提供资金支持和赛事组织服务。ZDI仍然计划保留之前购买过的的大部分常见漏洞类别。
惠普高级安全内容开发员Shannon Sabens在其博文中表示:“我们的关注点一直都在大范围部署的软件上,尤其是那些在企业中大范围部署的软件。我们寻求的是关键漏洞报告。举例来说:我们仍然会购买浏览器漏洞、SCADA漏洞、操作系统提权漏洞、沙盒逃逸漏洞,以及大多数安全产品的漏洞。”
ZDI漏洞收购政策的调整,也许反映了安全社区由广泛的安全研究和入侵领域,向高价值目标(如SCADA系统、沙盒等)的转移。攻击者们致力于浏览器漏洞挖掘和沙盒逃逸技术已经很多年,并越来越多地将目光转向SCADA系统和工业控制系统(ICS)。从事SCADA及其相关产业研究的人数远远及不上关注Web安全或应用安全的人数,但针对ICS和SCADA产品的安全咨询服务日益增长并趋于平常。
关键词: