Het Zero Day Initiative (ZDI) was afgelopen goed voor 60,5% van alle onthulde kwetsbaarheden. Dit concludeert analistenbureau Omdia. Het ZDI behoudt hiermee zijn positie als het grootste leveranciersonafhankelijke bug bounty-programma ter wereld. En dat al voor het dertiende opeenvolgende jaar. Het ZDI presenteerde de meeste onthullingen op alle niveaus. hiervan is 77% zeer kritiek of hoog.
Het rapport van Omdia, gepubliceerd onder de titel ‘Quantifying the Public Vulnerability Market: 2021 Edition’, biedt een uitgebreide, vergelijkende analyse van 11 van de meest productieve security research & vulnerability disclosure-organisaties ter wereld.
Uitdaging
“De recente gebeurtenissen met Microsoft Exchange Server hebben wederom laten zien dat kwetsbaarheden nog steeds de kern vormen van de uitdaging waar strijders aan de digitale frontlinie mee te maken hebben”, zegt Brian Gorenc. Hij is senior director of vulnerability research van Trend Micro. Deze specialist lanceerde ZDI in 2005. “Daarom blijven we toegewijd aan het belonen van onderzoekers voor het vinden en op een verantwoorde manier openbaren van bugs.”
ZDI vergroot marktdekking
De analisten van Omdia taxeerde 1.365 unieke, geverifieerde kwetsbaarheden die zijn geopenbaard in 2020 en zijn geclaimd door de 11 leveranciers. Hiervan openbaarde ZDI 825 bugs, drie keer meer dan de nummer twee die er 242 openbaarde. Het ZDI heeft hiermee zijn marktdekking vergroot met 8,2% vergeleken met het jaar daarvoor.
Het aantal kwetsbaarheden dat afgelopen jaar door alle andere partijen is ontdekt, is in totaal minder dan de helft van wat Trend Micro heeft ontdekt, concludeert Omdia.
Ruim 10.000 onderzoekers
Trend Micro ZDI is opgericht in 2005. Het was een pionier in het ontwikkelen van een verantwoorde manier om kwetsbaarheden te openbaren. Dit, door middels van bug bounty beloningsprogramma’s. Het project heeft inmiddels meer dan 7.500 wereldwijde kwetsbaarheden gemeld. Meer dan 10.000 onderzoekers wereldwijd hebben inmiddels meer dan 25 miljoen dollar aan ‘bounties’ ontvangen. Het ZDI richt zich op kwetsbaarheden bij een brede range services waarbij overigens speciale aandacht uitgaat naar kwetsbaarheden in netwerken en PDF-software, die kritiek zijn voor enterprise security.
