Zero Day Initiative: 20 Jahre unabhängige Sicherheitsforschung

Zero Day Initiative: 20 Jahre unabhängige Sicherheitsforschung.

Trend Micro feiert das zwanzigste Jubiläum seiner Zero Day Initiative (ZDI), des herstellerunabhängigen Programms zur Schwachstellenforschung (Bug Bounty). Seit 2005 fördert die ZDI die verantwortungsvolle Offenlegung von Software-Schwachstellen mit Prämien für entdeckte Sicherheitslücken und durch ethische Hacking-Wettbewerbe weltweit.

Das Programm ist führend in der globalen Forschung und Entdeckung von Sicherheitslücken. Laut Omdia trug die Trend Zero Day Initiative im Jahr 2024 zur verantwortungsvollen Offenlegung von 73 Prozent der untersuchten Schwachstellen bei – mehr als alle anderen teilnehmenden Anbieter zusammen.

Die Forschung der ZDI hinter diesen neu entdeckten Schwachstellen stellt sicher, dass Trend-Kunden durch virtuelle Patches vor Zero-Day-Sicherheitslücken geschützt werden. Sie erhalten diese im Durchschnitt mehr als zwei Monate bevor offizielle Updates der betroffenen Hersteller verfügbar sind. Doch nicht nur Kunden von Trend Micro profitieren: Die Trend Zero Day Initiative macht die digitale Welt für alle sicherer, indem sie dafür sorgt, dass Softwarefehler von Herstellern behoben werden, bevor sie von Bedrohungsakteuren ausgenutzt werden können.

So fing es an

Das Programm begann bescheiden: 2005 wurde es von TippingPoint, einer Abteilung von 3Com, ins Leben gerufen. Die Idee war einfach: Die Sicherheitsforschungs-Community finanziell dafür zu belohnen, Zero-Days in gängigen Produkten zu finden und diese verantwortungsvoll an den jeweiligen Hersteller zu melden, damit die Produkte sicherer werden.

2007 folgte der erste, inzwischen weltweit bekannte Pwn2Own-Wettbewerb, bei dem Forscherteams gegeneinander und gegen die Uhr antraten, um Zero-Days in vorab ausgewählten Produktkategorien zu entdecken.

Mit der Akquisition von TippingPoint im Jahr 2016 übernahm Trend Micro die Verantwortung für die Zero Day Initiative. Heute umfasst das Programm über 450 festangestellte Forscher in 14 globalen Threat Centern sowie eine erweiterte Community von mehr als 19.000 unabhängigen Schwachstellenforschern.

In der Geschichte der Zero Day Initiative gab es zahlreiche Höhepunkte

• ZDI-Forscher entdeckten, dass ein Patch für eine LNK-Sicherheitslücke, die vom berüchtigten Stuxnet-Wurm ausgenutzt wurde, nicht korrekt funktionierte. Ihre Forschung ermöglichte es Microsoft, fünf Jahre nach dem ursprünglichen Patch eine neue Aktualisierung bereitzustellen.
• Forscher der ZDI erhielten 125.000 US-Dollar von Microsoft für die Entdeckung einer Umgehungslösung für Schutzmaßnahmen im Internet Explorer. Die Prämie wurde für wohltätige Zwecke gespendet, und die Technik war so neuartig, dass sie zum Patent angemeldet wurde.
• Ein ZDI-Forscher fand zwei Zero-Days in Apples QuickTime für Windows, woraufhin Apple den Support für das Produkt einstellte. Die Zero Day Initiative übernahm die führende Rolle, um QuickTime-Nutzern zur Deinstallation zu raten.
• Die Arbeit der Zero Day Initiative von Trend half mehrfach, verdeckte staatliche Operationen zu stören – darunter die APT „Black Energy“, die in den vergangenen Jahren wiederholt die Ukraine ins Visier nahm.
• Ein Trend-ZDI-Forscher gewann 2023 einen Pwnie Award für „Most Under-Hyped Research“, als er eine völlig neue Exploit-Klasse entdeckte: Activation Context Cache Poisoning.

„Unsere oberste Priorität ist es, unsere Kunden zu befähigen, einen proaktiven Ansatz in der Cybersicherheit zu verfolgen“, erklärt Kevin Simzer, COO bei Trend. „Die Zero Day Initiative ist eines der besten Werkzeuge, die wir haben, um Cyberkriminellen immer einen Schritt voraus zu sein – und sie ist einzigartig. Niemand sonst in der Branche kann seine Kunden so frühzeitig schützen wie wir.“