HanDs
管理员

黑客“三国传”:2016上半年“挖洞大赛”完全盘点 



      

  在2016上半年,微软、谷歌、苹果三大平台的漏洞致谢榜屡遭全球各大安全厂商“刷榜”,来自世界范围内的技术高手们都以帮助三巨头发现和修复漏洞为荣,漏洞致谢榜也成为各大安全团队角逐争锋的竞技场。

  三大平台级巨头中,微软Windows覆盖了大多数PC用户,谷歌Android在智能手机时代崛起,苹果的iPhone和Mac等产品则是以高端用户为主,三巨头共同构建了如今人们网络生活的根基。为了强化系统安全性,微软、谷歌和苹果在每月安全公告中都会对帮助其发现漏洞的黑客高手(俗称“白帽子”)进行公开致谢,其中不乏中国厂商的身影。

  微软漏洞致谢榜:趋势科技首次领跑

      

  微软漏洞致谢榜主要包括两部分,一部分是每月修复的漏洞公告,另一部分是“赏金猎手”(Bounty Hunters)项目。在2015年,微软致谢榜排名前三的是Google Project Zero(93个漏洞致谢,1个赏金项目),Palo Alto Networks(34个漏洞致谢),奇虎360(22个漏洞致谢,4个赏金项目)。趋势科技仅以15个漏洞致谢排名第七。

  但是随着趋势科技以3亿美元并购惠普旗下的TippingPoint及Zero Day Initiative悬赏计划,趋势科技在漏洞报告方面也明显发力,2016上半年获得微软34次致谢而排名榜首。Google Project Zero报告的漏洞数量出现大幅下滑,仅获得23次致谢。奇虎360仍排名第三,16次致谢数量相比去年同期还略有提升。

  其他中国厂商中,百度也维持了微软漏洞挖掘能力的领先水平,获得16次致谢并列第三,腾讯以14次致谢排名第五。此外,绿盟科技在今年上半年获得微软3次致谢,知道创宇获得1次致谢。

  谷歌漏洞致谢榜:360一骑绝尘

      

  谷歌漏洞致谢榜主要统计Android系统和Chrome浏览器的漏洞公告。拥有全球最强黑客天团Google Project Zero的谷歌,其产品漏洞的挖掘难度可想而知。只要挖到2个Android或Chrome漏洞,就足以进入谷歌致谢名单的TOP10排行榜。

  在谷歌漏洞致谢榜中,奇虎360在上半年以获得47次致谢而遥遥领先,趋势科技(11次致谢)和Google Project Zero(8次致谢)再列前三。这三家厂商/安全团队在漏洞报告方面可以说是当之无愧的第一阵营。谷歌的Android团队和Chrome安全团队也各获得自家漏洞致谢6次和2次,如果合并计算,谷歌旗下团队在今年上半年发现自家产品漏洞也达到16次。

  360在谷歌漏洞报告方面的优势来自360手机卫士安全团队、冰刃实验室(IceSword Lab)、C0RE Team、Vulpecker Team等360旗下不同团队的合力贡献。同时拥有多支具备Android漏洞挖掘和分析能力的高水平技术团队,360在移动互联网安全研究方面可谓重兵投入。

  作为中国互联网巨头,阿里巴巴(5次致谢)和腾讯(4次致谢)在移动安全研究方面也格外重视,双双进入谷歌漏洞致谢TOP10榜单,分别排名第六和第八。此外,华为、百度和北京大学也各获得1次谷歌Android漏洞致谢,在谷歌的安全公告中占据一席之地。

  苹果漏洞致谢榜:越狱团队均缺席

      

  在去年的苹果安全公告中,最大的亮点无疑是盘古和太极两支越狱团队各报告了10余个漏洞。要知道,越狱必须挖到iOS系统的0day漏洞,把漏洞提交给苹果去修复无异于自砸饭碗。在今年盘古和太极就没有这么慷慨了,想必他们都已挖到不少漏洞,能否成功越狱iOS10我们还需要耐心等待。

  在苹果致谢的TOP10榜单上,趋势科技获得35次致谢遥遥领先,Google Project Zero获18次致谢排名次席,第三则是来自中国的腾讯,上半年获得9次致谢。

  其他中国安全厂商中,奇虎360获得苹果公司6次致谢排名第六。上半年获得1次致谢的中国团队有三家,分别是猎豹移动(CM Security)、无声信息技术团队(PKAV Team)和知道创宇(KnownSec)。

  综合三大巨头漏洞致谢榜,中国安全团队有着亮眼表现,为全球互联网用户使用更安全的系统做出了巨大贡献。在Blackhat、DefCon等国际性安全技术峰会和Pwn2Own等黑客大赛上,也无不活跃着华人的身影。中国,正在漏洞攻防尖端研究领域走在世界的前列。

  不过也应该看到,在攻防技术和产业创新的结合实践方面,中国企业还没有获得国际上足够的认可。在美国投资咨询机构Cybersecurity Ventures今年发布的最新一期《网络安全创新500强》中,中国只有奇虎360、安恒信息、安天实验室和Vkansee这4家企业上榜,美国则有369家企业进入榜单。这一方面是因为中国的安全企业大多扎根国内,国外咨询机构缺乏足够的了解;但另一方面,中国作为网络大国,也需要更多的创新成果来完善全球化的威胁和防御视野,让世界见证更强的中国力量。


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
黑客
#1楼
发帖时间:2016-7-11   |   查看数:0   |   回复数:0
游客组
快速回复