BLACK HAT USA - لاس فيجاس - دافع أحد كبار مسؤولي الأمن في Microsoft اليوم عن سياسات الكشف عن الثغرات الأمنية للشركة باعتبارها توفر معلومات كافية لفرق الأمن لاتخاذ قرارات تصحيح مستنيرة دون تعريضهم لخطر الهجوم من الجهات الفاعلة في مجال التهديد الذين يتطلعون إلى إجراء هندسة عكسية للتصحيحات للاستغلال بسرعة .
في محادثة مع Dark Reading في Black Hat USA ، قال نائب رئيس مركز الاستجابة الأمنية لشركة Microsoft ، Aanchal Gupta ، إن الشركة قررت بوعي الحد من المعلومات التي تقدمها في البداية مع CVEs لحماية المستخدمين. بينما توفر Microsoft CVEs معلومات حول شدة الخطأ واحتمال استغلاله (وما إذا كان يتم استغلاله بشكل نشط) ، ستكون الشركة حكيمة بشأن كيفية إصدارها لمعلومات استغلال الثغرات الأمنية.
بالنسبة لمعظم الثغرات الأمنية ، فإن نهج Microsoft الحالي هو إعطاء نافذة لمدة 30 يومًا من الكشف عن التصحيح قبل أن تملأ CVE بمزيد من التفاصيل حول الثغرة الأمنية وإمكانية استغلالها ، كما يقول Gupta. الهدف هو إعطاء الإدارات الأمنية الوقت الكافي لتطبيق التصحيح دون تعريضهم للخطر ، كما تقول. يقول غوبتا: "إذا قدمنا ، في مكافحة التطرف العنيف لدينا ، كل التفاصيل المتعلقة بكيفية استغلال الثغرات الأمنية ، فسنكون بلا داع لعملائنا".
معلومات متفرقة عن الثغرات الأمنية؟
واجهت Microsoft - مثل موردي البرامج الرئيسيين الآخرين - انتقادات من الباحثين الأمنيين بسبب المعلومات المتفرقة نسبيًا التي تصدرها الشركة مع الكشف عن نقاط الضعف الخاصة بها. منذ نوفمبر 2020 ، تستخدم Microsoft إطار عمل نظام نقاط الضعف المشترك (CVSS) تصف الثغرات الأمنية في دليل التحديث الأمني الخاص بها. تغطي الأوصاف سمات مثل متجه الهجوم وتعقيد الهجوم ونوع الامتيازات التي قد يتمتع بها المهاجم. توفر التحديثات أيضًا درجة لنقل تصنيف الخطورة.
ومع ذلك ، فقد وصف البعض التحديثات بأنها مشفرة وتفتقر إلى المعلومات الهامة عن المكونات التي يتم استغلالها أو كيفية استغلالها. لقد لاحظوا أن ممارسة Microsoft الحالية المتمثلة في وضع الثغرات الأمنية في دلو "الاستغلال الأكثر احتمالية" أو "الاستغلال الأقل احتمالية" لا يوفر معلومات كافية لاتخاذ قرارات تحديد الأولويات على أساس المخاطر.
في الآونة الأخيرة ، واجهت Microsoft أيضًا بعض الانتقادات بسبب افتقارها المزعوم للشفافية فيما يتعلق بالثغرات الأمنية السحابية. في يونيو ، اتهم الرئيس التنفيذي لشركة Tenable أميت يوران الشركة بـ تصحيح بضع ثغرات أمنية في Azure "بصمت" التي اكتشفها باحثو Tenable وأبلغوا عنها.
كتب يوران: "كانت كلتا الثغرات الأمنية قابلة للاستغلال من قبل أي شخص يستخدم خدمة Azure Synapse". "بعد تقييم الموقف ، قررت Microsoft تصحيح إحدى المشكلات بصمت ، والتقليل من المخاطر ،" وبدون إخطار العملاء.
أشار يوران إلى بائعين آخرين - مثل Orca Security و Wiz - واجهوا مشكلات مماثلة بعد أن كشفوا عن ثغرات أمنية في Azure لـ Microsoft.
بما يتوافق مع سياسات MITRE لمكافحة التطرف العنيف
يقول غوبتا إن قرار Microsoft بشأن إصدار مكافحة التطرف العنيف لثغرة أمنية يتوافق مع سياسات برنامج مكافحة التطرف العنيف التابع لمعهد MITRE.
وتقول: "وفقًا لسياستهم ، إذا لم يكن هناك حاجة إلى إجراء من جانب العميل ، فلسنا مطالبين بإصدار مكافحة التطرف العنيف". "الهدف هو الحفاظ على مستوى الضوضاء منخفضًا بالنسبة للمؤسسات وعدم إثقال كاهلها بالمعلومات التي لا تستطيع فعل الكثير بها."
"لا تحتاج إلى معرفة الأشياء الخمسين التي تقوم بها Microsoft للحفاظ على أمان الأشياء على أساس يومي" ، كما تلاحظ.
يشير جوبتا إلى كشف ويز العام الماضي عن أربع نقاط ضعف حرجة في مكون البنية الأساسية للإدارة المفتوحة (OMI) في Azure كمثال على كيفية تعامل Microsoft مع المواقف التي قد تؤثر فيها ثغرة في السحابة على العملاء. في هذه الحالة ، كانت إستراتيجية Microsoft تتمثل في الاتصال المباشر بالمنظمات المتأثرة.
"ما نفعله هو إرسال إشعارات فردية إلى العملاء لأننا لا نريد أن تضيع هذه المعلومات" ، كما تقول "نصدر CVE ، ولكننا نرسل أيضًا إشعارًا إلى العملاء لأنه إذا كان في بيئة بأنك مسؤول عن التصحيح ، نوصيك بتصحيحه بسرعة ".
في بعض الأحيان ، قد تتساءل إحدى المؤسسات عن سبب عدم إخطارها بمشكلة - وهذا على الأرجح بسبب عدم تأثرها ، كما يقول غوبتا.
