Кибератаки сегодня не ограничиваются конкретными компаниями, продуктами или услугами — они происходят там, где есть уязвимости. Кроме того, атаки становятся все более изощренными с помощью инструментов на базе ИИ. На этом фоне Microsoft анонсировала свой новый подход к безопасности «In Scope by Default» на конференции Black Hat Europe.
Согласно этому подходу, любая «критическая уязвимость» с «доказуемым воздействием» на онлайн-сервисы Microsoft в будущем будет рассматриваться для получения вознаграждения. Это касается как кода, управляемого Microsoft, так и всего, что предоставляется сторонними разработчиками или через открытый исходный код.
«Злоумышленников не волнует, кому принадлежит код, который они пытаются использовать», — пишет Том Галлахер, вице-президент по инжинирингу Центра реагирования на угрозы безопасности Microsoft, в записи в блоге. «Такой же подход должен применяться и к сообществу специалистов по безопасности, которое сотрудничает с нами, чтобы предоставить важные выводы для защиты наших клиентов».
Цель — «создать стимулы для исследований»
Галлахер подчеркивает, что Microsoft «сделает все необходимое» для устранения выявленных проблем. Он отмечает, что только в 2024 году компания выплатила более 17 миллионов долларов в рамках своей программы Bug Bounty и мероприятий Live Hacking. Измененная стратегия еще больше расширит возможности для получения вознаграждений.
«Наша цель — создать стимулы для исследований в областях с самым высоким риском, особенно в тех, которые наиболее вероятно будут использованы злоумышленниками», — объясняет эксперт Microsoft.
Вознаграждения в рамках программы Bug Bounty теперь включают:
- Собственные домены и облачные сервисы Microsoft: Исследователи безопасности без инсайдерских знаний о Microsoft поощряются к фокусировке на инфраструктуре компании в соответствии с согласованными правилами.
- Сторонний код, включая открытый исходный код: В случаях, когда в этой области еще нет программы Bug Bounty, Microsoft теперь предложит ее. Выявление уязвимостей в стороннем коде может помочь повысить планку «для всех, кто полагается на этот код», по словам Галлахера.
Исследователи могут представить свои находки для оценки и скоординированного раскрытия на онлайн-платформе Microsoft. Таким образом, уязвимости сообщаются конфиденциально, чтобы диагностировать и устранить эти проблемы до их публичного раскрытия.
Microsoft и ее партнеры соблюдают правила ответственного исследования безопасности, по словам Галлахера, которые поощряют различные виды деятельности «красных команд» (red teaming). К ним относятся:
- Оценка уязвимостей на виртуальных машинах Azure (VM),
- Тестирование пиковой нагрузки,
- Попытки выхода за пределы системных границ и общих контейнеров служб,
- Тестирование систем мониторинга и обнаружения угроз безопасности, а также
- Оценка условного доступа.
Однако правила запрещают «красным командам» использовать или получать доступ к учетным данным, проводить фишинговые атаки на сотрудников Microsoft или выполнять тесты на отказ в обслуживании, вызывающие чрезмерный трафик. Кроме того, запрещено взаимодействовать с учетными записями хранения, не входящими в подписку пользователя.
Преимущества и недостатки такого подхода
Расширение области применения не является чем-то совершенно новым, отмечает Авакян из Info-Tech, «хотя поставщики облачных услуг (CSP), финансовые учреждения и SaaS-компании публикуют более строгие формулировки и решают многие вопросы путем переговоров за кулисами». Однако, по словам эксперта, многое по-прежнему сильно зависит от доброй воли исследователей и внутреннего усмотрения.
«Расширенный охват Microsoft несколько отличается и может привести к меньшему количеству споров, которые отнимают время и вызывают трения с исследователями», — говорит Авакян. «Кроме того, это посылает лучший сигнал: если люди не боятся дисквалификации, они с большей вероятностью будут представлять результаты на ранних стадиях. Это отлично подходит для защитников и может укрепить доверие к исследовательскому сообществу».
Однако аналитик признает, что могут возникнуть трудности с объемом отчетов об ошибках. В результате возможно увеличение количества отчетов низкого качества и спекулятивных или «туманных» результатов, предупреждает специалист Info-Tech.
«Модель может работать только в том случае, если серьезность проблем оценивается последовательно», — говорит Авакян. В противном случае злоумышленники могут косвенно выиграть от перегрузки команд защиты, а потенциальные ложные сигналы могут заглушить настоящие предупреждения.
В конечном счете, «область применения — это действительно вопрос корпоративного управления», добавляет Авакян, отмечая, что компании отстают, если программы по поиску уязвимостей по-прежнему в первую очередь ориентированы на сокращение выплат, минимизацию рисков и защиту имиджа бренда.
«Microsoft сигнализирует, что операционная ясность превосходит оборонительную неопределенность», — говорит Авакян. Однако «по умолчанию в области применения» работает только при соответствующей организационной зрелости.
«Если у вас еще нет сильного управления, процессов триажа, последовательных моделей оценки серьезности и технической подотчетности, это станет проблематично», — объясняет эксперт. «Автоматизация, обогащение данных и опытное человеческое суждение здесь важнее, чем когда-либо, и Microsoft явно инвестирует в эту долгосрочную игру». (jm)
Автор – Taryn Plumb
