ZDI将举办锁定工控系统的Pwn2Own黑客竞赛

趋势科技（Trend Micro）本周宣布，旗下的Zero Day Initiative（ZDI）将在明年1月下旬伴随着于迈阿密举行的S4安全会议，举行锁定工业控制系统（Industrial Control System，ICS）的Pwn2Own黑客竞赛。

S4为全球最大的工业控制系统与操作型科技系统（Operation Technology，OT）的安全会议，明年的会议时间为1月21日到23日。

Pwn2Own黑客竞赛的范畴已从浏览器、虚拟软件、企业应用、移动设备、联网设备，一直扩张到工业控制系统。ZDI表示，对于要针对ICS领域举办Pwn2Own竞赛已商讨多年，现在已克服了多项难题，包括决定正确的漏洞挖掘分类与产品，也感谢Rockwell Automation提供比赛用的产品与虚拟机。

负责漏洞研究的趋势科技总监Brian Gorenc表示，随着IT与OT融合到工业4.0与数字转型，他们看见了相关的安全落差，黑客可通过被忽视的漏洞破坏关键的生产流程并窃取知识产权，希望可借由Pwn2Own Miami竞赛，来唤醒人们对相关环境的重视，也能协助ICS供应商与客户改善安全性。

ZDI定位为白帽黑客与企业之间的桥梁，向研究人员购买漏洞细节，再与企业合作修补，去年该公司所购买ICS软件零时差漏洞数量，就比2017年多了224%，且今年所购买的漏洞数量也呈增长状态。

Pwn2Own Miami竞赛将分为五大类，分别是控制服务器、OPC UA服务器、DNP3 Gateway、人机接口/操作者工作站，以及工程工作站软件。ZDI准备提供25万美元的奖金，给给成功发现漏洞并完成攻击的研究人员。