Microsoft пересматривает свою программу вознаграждений за обнаружение уязвимостей, чтобы поощрять охотников за эксплойтами за находку уязвимостей во всех своих продуктах и услугах, даже в тех, для которых не предусмотрено специальных схем вознаграждения.
Том Галлахер, вице-президент по инжинирингу Центра реагирования на угрозы безопасности Microsoft (MSRC), вчера заявил делегатам Black Hat Europe, что компания примет подход, который она называет «по умолчанию в области охвата».
В рамках новой модели MSRC будет выплачивать исследователям, сообщающим о критических уязвимостях, которые оказывают ощутимое влияние на онлайн-сервисы Microsoft.
“Независимо от того, принадлежит ли код Microsoft, сторонней компании или является открытым исходным кодом, мы сделаем все возможное для устранения проблемы”, – сказал Галлахер. “Наша цель — стимулировать исследования в областях с наивысшим риском, особенно в тех областях, которые злоумышленники, скорее всего, будут использовать”.
Тот же класс уязвимостей и его серьезность будут привлекать такое же денежное вознаграждение в стороннем коде, как и в случае обнаружения в одном из продуктов Microsoft, сообщил он The Register.
“Там, где программы вознаграждений не существует, мы будем признавать и награждать разнообразные идеи сообщества исследователей безопасности, куда бы ни привела их экспертиза. Это включает домены и корпоративную инфраструктуру, принадлежащие и управляемые Microsoft”.
Этот шаг представляет собой сдвиг в программах вознаграждений MSRC, которые в прошлом были строго регламентированы в отношении того, какой тип ошибки заслуживает награды, и какие продукты или услуги подпадают под действие программы.
Галлахер заявил, что такой подход «по умолчанию в области охвата» означает, что даже новые продукты и услуги охватываются программами вознаграждений, включая те, для которых при запуске не назначена отдельная программа.
“Переход к модели вознаграждений «по умолчанию в области охвата» направлен на укрепление нашей безопасности в условиях меняющегося ландшафта угроз, особенно в области облачных технологий и искусственного интеллекта”.
Microsoft заявляет, что в прошлом году выплатила более 17 миллионов долларов исследователям в рамках своей программы вознаграждений за обнаружение уязвимостей и конкурса Zero Day Quest, и ожидает увеличения расходов.
Запоздало, в 2013 году Microsoft запустила свою программу вознаграждений за обнаружение уязвимостей, после долгих лет отклонения давлений начать её — процесс, который, по словам ведущего лоббиста в области вознаграждений Кэти Муссурис, был похож на “кипящую лягушку”.
Хотя многие исследователи получили финансовую выгоду от программы вознаграждений Microsoft с тех пор, распространенные жалобы, сообщаемые теми, кому повезло меньше, включают медленное время отклика и сомнительные выводы триажа.
Некоторые разочарованные эксперты также приложили немало усилий, чтобы донести свои чувства по поводу процесса подачи заявок до MSRC. ®
Автор – Connor Jones
