Acerca de Trend Zero Day Initiative™ (ZDI)

Nuestra Misión

La Trend ZDI fue creada en 2005 para incentivar la comunicación responsable de los hallazgos de vulnerabilidades día-cero a los  vendors afectados por medio de la recompensa financiera a los investigadores. En aquel momento, algunos en la comunicad de seguridad de la información percibían a aquellos que descubría vulnerabilidades como hackers maliciosos con malas intenciones. Algunos todavía lo creen. Aunque los atacantes maliciosos sí existen, son una pequeña minoría del número total de personas que descubren nuevas fallas en software.

Nuestra misión

Incorporar la comunidad global de investigadores independientes también impulsa nuestras organizaciones de investigación internas con  investigaciones e inteligencia adicionales sobre vulnerabilidades día-cero y exploits. Este enfoque se integra a la formación de  Trend ZDI. Los objetivos principales de  Trend ZDI son:

ícono

Amplificar la eficiencia de los equipos por medio de la creación de una comunidad de investigadores altamente capaces.

ícono

Incentivar una comunicación  responsable de las vulnerabilidades día-cero por medio de incentivos financieros.

ícono

Proteger a los clientes de Trend Micro ante daños potenciales hasta que el vendor afectado pueda desplegar un parche.

Hoy en día, Trend ZDI es el programa más grande del mundo de bug bounty agnóstico a vendors. Nuestro enfoque sobre a adquisición de información sobre vulnerabilidades es distinto a otros programas. No se revelan públicamente los detalles técnicos relacionados con los bugs hasta que el vendor pueda mitigar el problema. Permite que Trend expanda sus equipos internos de investigación aprovechando las metodologías, expertise y el tiempo de los investigadores externos mientras se protege a los clientes en lo que los vendors afectados trabajan en un parche.

Los investigadores independientes de todo el mundo nos brindan información exclusiva sobre las vulnerabilidades no parchadas. Nuestros investigadores internos y analistas validan los hallazgos en nuestros laboratorios de seguridad y ofrecen una recompensa financiera al investigador. Si aceptan la oferta, se hace el pago lo más pronto posible. Realizar el proceso por medio de la Trend ZDI elimina la necesidad para los investigadores de darle seguimiento a los bugs que encuentren directamente con los vendors. Hacemos todos los esfuerzos para trabajar con los vendors para asegurar de que comprenden los detalles técnicos y la severidad de una falla reportada de seguridad, lo cual libera a los investigadores para hacer más descubrimientos.

Tienen a estos investigadores de amenazas que no puedo contratar que están encontrando cosas para que yo pueda dormir más tranquilo en la noche, y además de todo hacen del mundo un mejor lugar.

alt

Jason Cradit

CIO, CTO Summit Carbon

Nuestra política de revelación asegura que ciertos detalles se harán públicos en caso de que el vendor tome demasiado tiempo para remediar la vulnerabilidad. Esto permite que los equipos de defensa puedan actuar para proteger sus recursos, aún si no hay un parche disponible. En ningún caso se "mantendrá el secreto" de la existencia una vulnerabilidad adquirida por la razón de que el vendor no quiera hacerse cargo de ella. Se harán disponibles medidas de protección por medio de los productos de Trend sin importar cuál sea la respuesta del vendor. En 2024, estas protecciones se liberaron a los clientes de Trend en un promedio de más de 90 días antes de la liberación del parche del vendor. Esta política asegura a los investigadores que ningún descubrimiento se ocultará en ningún caso. También asegura a los vendors que existe una guía profesional y estándar que pueden esperar sea seguida al pie de la letra durante el proceso de revelación.

Una vez que el vendor tiene su parche listo, Trend ZDI trabaja colaborativamente con el vendor para notificar al público acerca de la vulnerabilidad a través de un aviso conjunto que brinda todo el crédito al investigador originario, a menos de que este elija permanecer anónimo. Esta práctica nos permite facilitar la protección de una base de clientes más grande que la nuestra propia.

Evento de Trend ZDI

Sin Trend ZDI, muchas vulnerabilidades continuarían ocultas o serían vendidas a un marketplace underground y utilizadas para propósitos malignos. Las relaciones colaborativas de Trend ZDI con vendors de software y con la comunidad de investigadores ayuda a inculcar la importancia de la seguridad en el ciclo de vida de desarrollo de productos, dando como resultado productos más seguros y clientes más seguros.

En los últimos 20 años, Trend ZDI ha revelado más de 15,000 vulnerabilidades y ha brindado inteligencia de amenazas única a la plataforma de Trend, y todo esto mientras fortalece la superficie de ataque para el software y los servicios que usamos todos en nuestra vida diaria.

Póngase en contacto con nosotros

Preguntas Generales

zdi@trendmicro.com

Encuéntrenos en X

@thezdi

Preguntas de la Prensa

media_relations@trendmicro.com

Encuéntrenos en Mastodon

Mastodon

Comunicaciones Sensibles

PGP Key