一年排雷347个 360再登互联网三大巨头致谢榜首
2018-01-24 16:07:15     [查看原文]

原标题:一年排雷347个 360再登互联网三大巨头致谢榜首

系统漏洞好比埋藏隐蔽的地雷,随时会被触发引爆,产生巨大的伤害,而白帽黑客则是安全圈内的“排雷兵”,他们兢兢业业地进行漏洞挖掘,帮助厂商及时发现并修复系统漏洞,防止漏洞被恶意利用。

为了向这些伟大的“排雷兵”表示谢意,互联网各巨头定期发布致谢公告,在2017年度谷歌、微软、苹果全球致谢榜单中,中国安全厂商360以发现347个漏洞总数高居榜首,腾讯、百度、阿里巴巴等国内其他安全厂商同样跻身前十,向世界展现了中国日益强大的网络攻防实力。

图:微软、谷歌、苹果漏洞数量统计总榜

谷歌致谢榜:360漏洞挖掘数是第二名的3倍多

拥有自身安全团队护航的谷歌,漏洞挖掘难度一向较高,其漏洞“身价”也是一路飙升,根据2017年国外漏洞军火商公布的报价显示,谷歌Chrome漏洞黑市价格最高达15万美元。然而在白帽子的眼中,15万美金远远比不上谷歌官方致谢带来的荣耀。

图:谷歌2017年漏洞致谢榜

在谷歌2017全年的榜单中,360凭借227次安卓致谢和6次Chrome致谢再登榜首,远超谷歌自家的机器挖掘大军和黑客天团Google Project Zero。值得一提的是,这已经是自2015年谷歌公布漏洞致谢以来360第三年蝉联冠军,展现了在移动安全领域的强悍实力。

来自中国的另一安全厂商腾讯获得谷歌致谢67次,名列第三,而一向与谷歌“相爱相杀”、互报漏洞的微软排在第四位。另外,阿里巴巴、百度、蚂蚁金服等中国安全厂商,也都分别以28次、23次、10次漏洞致谢的成绩跻身致谢榜单前十,中国安全厂商在谷歌致谢榜中大力刷榜,向世界大秀中国安全实力。

微软致谢榜:360成“赏金收割机”

与谷歌等厂商的致谢榜不同的是,微软致谢榜由常规的漏洞公告和赏金计划组成,其中赏金计划(Bounty Program),专门为Mitigation Bypass(指绕过系统安全机制)的攻击方法提供奖金,考验攻击方式的思维技巧,在价值上远远超过常规漏洞。

微软漏洞研究是360的传统优势项目,2017年,360以81次致谢位列微软单项榜单的全球第三,创造了中国厂商的最好成绩,在赏金项目上(4次致谢)领先于其他所有厂商。

图:微软2017年漏洞致谢榜

2017年7月,微软在BlackHat现场发布TOP100安全贡献榜,表彰为微软系统和软件安全做出杰出贡献的全球100名安全专家,360有十人上榜,其中7人排名前50,入选人数和综合排名全面领先,360Vulcan团队的YUKI CHEN更是名列全球第三,成为微软安全贡献榜上排名最高的华人安全研究员。

苹果致谢榜:“骨灰级”漏洞难不倒中国战队

在2017年的苹果致谢榜上,360获得33次漏洞致谢,其中包括360在Pwn2Own上攻破MacOS时使用的骨灰级漏洞。在2017年Pwn2Own赛场上,中国团队360和长亭科技是仅有的成功挑战MacOS和Safari两大高难项目的厂商,360最终还捧得了Pwn2Own总冠军的奖杯,让中国力量在世界黑客大赛上扬眉吐气。

图:苹果2017年漏洞致谢榜

除了360在全球致谢榜强势登顶外,国内安全厂商腾讯(147次致谢)、阿里巴巴(30次致谢)、长亭科技(9次致谢)、百度(8次致谢)也名列前茅,与360一起组成了强大的中国安全力量。

自2016年起,苹果开始推出漏洞定向赏金计划,漏洞赏金高达20万美金,但与黑市上漏洞价格相比,却是望尘莫及。据了解,2017年iOS漏洞在黑市上的交易价格已经高达150万美金,且漏洞的“身价”还在逐年递增。面对如此诱惑,安全厂商的研究人员不为所动,仍然将网络安全置于一切利益之上,为维护网络空间安全默默贡献。

图:国外漏洞军火商移动端漏洞“牌价”

除了在三大巨头厂商的致谢榜上刷榜霸屏,中国网络安全技术实力还体现在真正应对“永恒之蓝”等重大安全战役时的迅速反应。大安全时代来临,漏洞作为重要的战略武器,是黑白交锋中的必争之器,而中国的白帽黑客们已经成为这场战争的中坚力量,在未来将继续用他们精湛的技术捍卫新时代的正义与安全。

本栏目中的所有页面均系自动生成,自动分类排列,采用联索网络信息采集、网页信息提取、语义计算等智能搜索技术。内容源于公开的媒体报道,包括但不限于新闻网站、电子报刊、行业门户、客户网站等。使用本栏目前必读