ব্ল্যাক হ্যাট ইউএসএ - লাস ভেগাস - মাইক্রোসফ্টের একজন শীর্ষ নিরাপত্তা নির্বাহী আজ কোম্পানির দুর্বলতা প্রকাশের নীতিগুলিকে রক্ষা করেছেন কারণ নিরাপত্তা দলগুলিকে শোষণের জন্য দ্রুত রিভার্স-ইঞ্জিনিয়ার প্যাচগুলিকে হুমকির অভিনেতাদের আক্রমণের ঝুঁকিতে না ফেলেই অবহিত প্যাচিং সিদ্ধান্ত নেওয়ার জন্য যথেষ্ট তথ্য প্রদান করে৷ .
ব্ল্যাক হ্যাট ইউএসএ-তে ডার্ক রিডিং-এর সাথে একটি কথোপকথনে, মাইক্রোসফ্টের সিকিউরিটি রেসপন্স সেন্টারের কর্পোরেট ভাইস প্রেসিডেন্ট, আঁচল গুপ্তা বলেছেন যে কোম্পানি সচেতনভাবে সিদ্ধান্ত নিয়েছে যে ব্যবহারকারীদের সুরক্ষার জন্য এটি প্রাথমিকভাবে তার CVE-এর সাথে যে তথ্য সরবরাহ করে তা সীমিত করার। মাইক্রোসফ্ট সিভিইগুলি বাগটির তীব্রতা এবং এটির শোষণের সম্ভাবনা সম্পর্কে তথ্য সরবরাহ করে (এবং এটি সক্রিয়ভাবে শোষণ করা হচ্ছে কিনা), সংস্থাটি কীভাবে দুর্বলতা শোষণের তথ্য প্রকাশ করে সে সম্পর্কে বিচক্ষণ হবে৷
বেশিরভাগ দুর্বলতার জন্য, মাইক্রোসফ্টের বর্তমান পদ্ধতি হল দুর্বলতা এবং এর শোষণের বিষয়ে আরও বিশদ সহ CVE পূরণ করার আগে প্যাচ প্রকাশ থেকে 30-দিনের উইন্ডো দেওয়া, গুপ্তা বলেছেন। লক্ষ্য হল নিরাপত্তা প্রশাসনকে তাদের বিপদ না করে প্যাচ প্রয়োগ করার জন্য পর্যাপ্ত সময় দেওয়া, সে বলে। "যদি, আমাদের CVE-তে, আমরা কীভাবে দুর্বলতাগুলিকে কাজে লাগানো যেতে পারে তার সমস্ত বিবরণ সরবরাহ করি, আমরা আমাদের গ্রাহকদের শূন্য-দিবস করব," গুপ্ত বলেছেন৷
স্পারস দুর্বলতা তথ্য?
মাইক্রোসফ্ট - অন্যান্য প্রধান সফ্টওয়্যার বিক্রেতা হিসাবে - কোম্পানি তার দুর্বলতা প্রকাশের সাথে তুলনামূলকভাবে বিরল তথ্যের জন্য নিরাপত্তা গবেষকদের সমালোচনার সম্মুখীন হয়েছে৷ নভেম্বর 2020 থেকে, মাইক্রোসফট কমন ভালনারেবিলিটি স্কোরিং সিস্টেম (CVSS) ফ্রেমওয়ার্ক ব্যবহার করছে এর নিরাপত্তা আপডেট গাইডে দুর্বলতা বর্ণনা করুন. বর্ণনাগুলি অ্যাটাক ভেক্টর, আক্রমণের জটিলতা এবং আক্রমণকারীর যে ধরনের সুবিধা থাকতে পারে তার মতো বৈশিষ্ট্যগুলিকে কভার করে৷ আপডেটগুলি তীব্রতা র্যাঙ্কিং জানাতে একটি স্কোরও প্রদান করে।
যাইহোক, কেউ কেউ আপডেটগুলিকে রহস্যময় হিসাবে বর্ণনা করেছেন এবং উপাদানগুলিকে শোষিত করা হচ্ছে বা কীভাবে সেগুলি শোষণ করা যেতে পারে সে সম্পর্কে সমালোচনামূলক তথ্যের অভাব রয়েছে৷ তারা উল্লেখ করেছে যে মাইক্রোসফ্টের বর্তমান অভ্যাস একটি "শোষণের সম্ভাবনা কম" বা "শোষণের সম্ভাবনা কম" বালতিতে দুর্বলতাগুলিকে ঝুঁকি-ভিত্তিক অগ্রাধিকারের সিদ্ধান্ত নেওয়ার জন্য যথেষ্ট তথ্য প্রদান করে না।
অতি সম্প্রতি, মাইক্রোসফ্ট ক্লাউড সুরক্ষা দুর্বলতার বিষয়ে স্বচ্ছতার অভাবের জন্য কিছু সমালোচনার সম্মুখীন হয়েছে। জুন মাসে, টেনেবলের সিইও অমিত ইওরান কোম্পানির বিরুদ্ধে অভিযোগ তোলেন "নিঃশব্দে" Azure দুর্বলতা একটি দম্পতি প্যাচিং যে Tenable এর গবেষকরা আবিষ্কার করেছেন এবং রিপোর্ট করেছেন।
"এই উভয় দুর্বলতাই Azure Synapse পরিষেবা ব্যবহার করে যে কেউ শোষণ করতে পারে," ইয়োরান লিখেছেন। "পরিস্থিতির মূল্যায়ন করার পরে, মাইক্রোসফ্ট ঝুঁকি কমিয়ে, এবং গ্রাহকদেরকে অবহিত না করেই নিঃশব্দে একটি সমস্যা প্যাচ করার সিদ্ধান্ত নিয়েছে।"
Yoran অন্যান্য বিক্রেতাদের দিকে ইঙ্গিত করেছে - যেমন Orca সিকিউরিটি এবং উইজ - যারা মাইক্রোসফ্টের কাছে Azure-এ দুর্বলতা প্রকাশ করার পরে অনুরূপ সমস্যার সম্মুখীন হয়েছিল।
MITRE এর CVE নীতির সাথে সামঞ্জস্যপূর্ণ
গুপ্তা বলেছেন যে একটি দুর্বলতার জন্য একটি CVE ইস্যু করার বিষয়ে মাইক্রোসফ্টের সিদ্ধান্ত MITRE-এর CVE প্রোগ্রামের নীতিগুলির সাথে সামঞ্জস্যপূর্ণ।
"তাদের নীতি অনুসারে, যদি কোনও গ্রাহকের পদক্ষেপের প্রয়োজন না হয় তবে আমাদের একটি CVE ইস্যু করার প্রয়োজন নেই," সে বলে৷ "লক্ষ্য হল সংস্থাগুলির জন্য শব্দের মাত্রা কম রাখা এবং তাদের উপর এমন তথ্যের বোঝা না দেওয়া যা তারা খুব কমই করতে পারে।"
"প্রতিদিনের ভিত্তিতে জিনিসগুলিকে সুরক্ষিত রাখতে মাইক্রোসফ্ট যে 50টি জিনিস করছে তা আপনার জানার দরকার নেই," তিনি নোট করেছেন৷
গুপ্তা গত বছরের চারটি জটিল দুর্বলতার বিষয়ে উইজ দ্বারা প্রকাশের দিকে ইঙ্গিত করেছেন Azure-এ ওপেন ম্যানেজমেন্ট ইনফ্রাস্ট্রাকচার (OMI) উপাদান একটি উদাহরণ হিসাবে মাইক্রোসফ্ট কীভাবে পরিস্থিতি পরিচালনা করে যেখানে একটি ক্লাউড দুর্বলতা গ্রাহকদের প্রভাবিত করতে পারে। সেই পরিস্থিতিতে, মাইক্রোসফ্টের কৌশলটি ছিল প্রভাবিত সংস্থাগুলির সাথে সরাসরি যোগাযোগ করা।
"আমরা যা করি তা হ'ল গ্রাহকদের কাছে একের পর এক বিজ্ঞপ্তি পাঠাই কারণ আমরা এই তথ্যটি হারিয়ে যেতে চাই না," তিনি বলেন, "আমরা একটি CVE ইস্যু করি, তবে আমরা গ্রাহকদের একটি নোটিশও পাঠাই কারণ এটি পরিবেশে থাকলে আপনি প্যাচ করার জন্য দায়ী, আমরা আপনাকে দ্রুত প্যাচ করার পরামর্শ দিচ্ছি।"
কখনও কখনও একটি সংস্থা আশ্চর্য হতে পারে কেন তাদের একটি সমস্যা সম্পর্কে অবহিত করা হয়নি - এটি সম্ভবত কারণ তারা প্রভাবিত হয় না, গুপ্তা বলেছেন।
