BLACK HAT USA – Las Vegas – Microsoftin ylin tietoturvapäällikkö puolusti tänään yhtiön haavoittuvuuden paljastamiskäytäntöjä tarjoamalla riittävästi tietoa tietoturvatiimeille, jotta he voivat tehdä tietoisia korjauspäätöksiä ilman, että he joutuvat vaaraan uhkaavien toimijoiden hyökkäyksiltä, jotka haluavat nopeasti muuttaa korjaustiedostoja hyväksikäyttöä varten. .
Black Hat USA:n Dark Readingin kanssa käydyssä keskustelussa Microsoftin Security Response Centerin varapuheenjohtaja Aanchal Gupta sanoi, että yritys on tietoisesti päättänyt rajoittaa alun perin CVE:illään tarjoamiaan tietoja käyttäjien suojelemiseksi. Vaikka Microsoftin CVE:t antavat tietoa vian vakavuudesta ja sen hyödyntämisen todennäköisyydestä (ja siitä, käytetäänkö sitä aktiivisesti), yritys harkitsee, kuinka se julkaisee haavoittuvuuden hyväksikäyttötietoja.
Useimpien haavoittuvuuksien osalta Microsoftin nykyinen lähestymistapa on antaa 30 päivän ikkuna korjaustiedoston julkistamisesta, ennen kuin se täyttää CVE:n lisätiedoilla haavoittuvuudesta ja sen hyödynnettävyydestä, Gupta sanoo. Tavoitteena on antaa turvahallinnoille riittävästi aikaa asentaa korjaustiedosto vaarantamatta niitä, hän sanoo. "Jos annoimme CVE:ssämme kaikki yksityiskohdat siitä, kuinka haavoittuvuuksia voidaan hyödyntää, olemme nollapäiväisiä asiakkaitamme", Gupta sanoo.
Vähän haavoittuvuustietoa?
Microsoft – kuten muutkin suuret ohjelmistovalmistajat – on kohdannut tietoturvatutkijoilta kritiikkiä suhteellisen niukoista tiedoista, joita yritys julkaisee haavoittuvuuksiensa yhteydessä. Marraskuusta 2020 lähtien Microsoft on käyttänyt Common Vulnerability Scoring System (CVSS) -kehystä kuvaile haavoittuvuuksia sen tietoturvapäivitysoppaassa. Kuvaukset kattavat attribuutit, kuten hyökkäysvektorin, hyökkäyksen monimutkaisuuden ja hyökkääjän mahdolliset oikeudet. Päivitykset tarjoavat myös pistemäärän, joka ilmaisee vakavuusluokituksen.
Jotkut ovat kuitenkin kuvanneet päivityksiä salaperäisiksi, ja niistä puuttuu kriittistä tietoa hyödynnettävistä komponenteista tai niiden hyödyntämisestä. He ovat huomauttaneet, että Microsoftin nykyinen käytäntö asettaa haavoittuvuuksia "hyödyntämisen todennäköisemmin"- tai "vähemmän todennäköisemmin" -ryhmään ei anna tarpeeksi tietoa riskiin perustuvien priorisointipäätösten tekemiseen.
Viime aikoina Microsoft on myös kohdannut jonkin verran kritiikkiä väitetystä avoimuuden puutteesta pilvitietoturva-aukkojen suhteen. Kesäkuussa Tenablen toimitusjohtaja Amit Yoran syytti yritystä "hiljaisesti" korjaa pari Azure-haavoittuvuutta jonka Tenablen tutkijat olivat löytäneet ja raportoineet.
"Kaikki Azure Synapse -palvelun käyttäjät pystyivät hyödyntämään molempia näitä haavoittuvuuksia", Yoran kirjoitti. "Arvioituaan tilanteen Microsoft päätti hiljaa korjata yhden ongelman ja vähätellä riskiä" ilmoittamatta asiasta asiakkaille.
Yoran viittasi muihin toimittajiin – kuten Orca Security ja Wiz – jotka olivat kohdanneet samanlaisia ongelmia sen jälkeen, kun he ilmoittivat Microsoftille Azuren haavoittuvuuksista.
MITRE:n CVE-käytäntöjen mukainen
Gupta sanoo, että Microsoftin päätös CVE:n myöntämisestä haavoittuvuuden vuoksi on MITRE:n CVE-ohjelman käytäntöjen mukainen.
"Heidän käytäntönsä mukaan, jos asiakkaan toimia ei tarvita, meidän ei tarvitse antaa CVE:tä", hän sanoo. "Tavoitteena on pitää organisaatioiden melutaso alhaisena eikä kuormita niitä tiedolla, jolla he eivät voi juurikaan tehdä."
"Sinun ei tarvitse tietää 50 asiaa, joita Microsoft tekee pitääkseen asiat turvassa joka päivä", hän huomauttaa.
Gupta huomauttaa Wizin viime vuonna julkistamasta neljästä kriittisestä haavoittuvuudesta Open Management Infrastructure (OMI) -komponentti Azuressa esimerkkinä siitä, kuinka Microsoft käsittelee tilanteita, joissa pilvihaavoittuvuus saattaa vaikuttaa asiakkaisiin. Tässä tilanteessa Microsoftin strategiana oli ottaa suoraan yhteyttä organisaatioihin, joita asia koskee.
"Me lähetämme asiakkaille henkilökohtaisia ilmoituksia, koska emme halua näiden tietojen katoavan", hän sanoo. "Annamme CVE:n, mutta lähetämme myös ilmoituksen asiakkaille, koska jos se on ympäristössä että olet vastuussa paikasta, suosittelemme korjaamaan sen nopeasti."
Joskus organisaatio saattaa ihmetellä, miksi heille ei ilmoitettu ongelmasta - tämä johtuu todennäköisesti siitä, että he eivät vaikuta heihin, Gupta sanoo.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
