BLACK HAT ארה"ב - לאס וגאס - מנהל אבטחה בכיר של מיקרוסופט הגן היום על מדיניות חשיפת הפגיעות של החברה כמספקת מספיק מידע לצוותי אבטחה כדי לקבל החלטות תיקון מושכלות מבלי להעמיד אותם בסיכון להתקפה מצד גורמי איומים המעוניינים לבצע הנדסה לאחור במהירות של תיקונים לצורך ניצול. .
בשיחה עם Dark Reading ב-Black Hat USA, סגן נשיא החברה של מרכז התגובה האבטחה של מיקרוסופט, Aanchal Gupta, אמר שהחברה החליטה במודע להגביל את המידע שהיא מספקת בתחילה עם ה-CVEs שלה כדי להגן על המשתמשים. בעוד ש-CVE של מיקרוסופט מספקים מידע על חומרת הבאג, והסבירות לניצול (והאם הוא מנוצל באופן פעיל), החברה תהיה נבונה לגבי האופן שבו היא משחררת מידע על ניצול פגיעות.
עבור רוב הפגיעויות, הגישה הנוכחית של מיקרוסופט היא לתת חלון של 30 יום מגילוי תיקון לפני שהיא ממלאת את ה-CVE עם פרטים נוספים על הפגיעות ויכולת הניצול שלה, אומר גופטה. המטרה היא לתת למנהלי האבטחה מספיק זמן להחיל את התיקון מבלי לסכן אותם, היא אומרת. "אם, ב-CVE שלנו, נספק את כל הפרטים על האופן שבו ניתן לנצל פגיעויות, נהיה אפס-יום את הלקוחות שלנו", אומר גופטה.
מידע דל על פגיעות?
מיקרוסופט - כיצרניות תוכנה גדולות אחרות - התמודדה עם ביקורת מצד חוקרי אבטחה על המידע הדל יחסית שהחברה מפרסמת עם חשיפת הפגיעות שלה. מאז נובמבר 2020, מיקרוסופט משתמשת במסגרת Common Vulnerability Scoring System (CVSS) כדי תאר נקודות תורפה במדריך לעדכון האבטחה שלו. התיאורים מכסים תכונות כמו וקטור התקפה, מורכבות ההתקפה וסוג ההרשאות שעשויות להיות לתוקף. העדכונים מספקים גם ציון להעברת דירוג החומרה.
עם זאת, חלקם תיארו את העדכונים כקריפטיים וחסרי מידע קריטי על הרכיבים המנוצלים או כיצד הם עשויים להיות מנוצלים. הם ציינו שהפרקטיקה הנוכחית של מיקרוסופט להכניס נקודות תורפה לתוך "ניצול סביר יותר" או "ניצול פחות סביר" לא מספקת מספיק מידע כדי לקבל החלטות תעדוף מבוססות סיכונים.
לאחרונה, מיקרוסופט גם התמודדה עם קצת ביקורת על חוסר השקיפות לכאורה לגבי פרצות אבטחה בענן. ביוני האשים את החברה מנכ"ל Tenable, עמית יורן תיקון "בשקט" של כמה פרצות Azure שהחוקרים של Tenable גילו ודיווחו.
"שתי הפגיעויות הללו היו ניתנות לניצול על ידי כל מי שמשתמש בשירות Azure Synapse", כתב יורן. "לאחר הערכת המצב, מיקרוסופט החליטה לתקן בשקט את אחת הבעיות, ולצמצם את הסיכון", ומבלי להודיע ללקוחות.
יורן הצביע על ספקים אחרים - כמו Orca Security ו-Wiz - שנתקלו בבעיות דומות לאחר שחשפו פרצות ב-Azure למיקרוסופט.
תואם למדיניות CVE של MITRE
גופטה אומר שההחלטה של מיקרוסופט אם להנפיק CVE עבור פגיעות תואמת את המדיניות של תוכנית CVE של MITRE.
"לפי המדיניות שלהם, אם אין צורך בפעולת הלקוח, אנחנו לא נדרשים להנפיק CVE", היא אומרת. "המטרה היא להוריד את רמת הרעש של ארגונים ולא להעמיס עליהם מידע שהם יכולים לעשות איתו מעט."
"אינך צריך לדעת את 50 הדברים שמיקרוסופט עושה כדי לשמור על אבטחת הדברים ביום-יום", היא מציינת.
גופטה מצביעה על החשיפה של Wiz בשנה שעברה לגבי ארבע נקודות תורפה קריטיות ב- רכיב Open Management Infrastructure (OMI) ב-Azure כדוגמה לאופן שבו מיקרוסופט מטפלת במצבים שבהם פגיעות בענן עשויה להשפיע על לקוחות. במצב זה, האסטרטגיה של מיקרוסופט הייתה ליצור קשר ישיר עם ארגונים שנפגעו.
"מה שאנחנו עושים זה לשלוח הודעות אחד לאחד ללקוחות כי אנחנו לא רוצים שהמידע הזה ילך לאיבוד", היא אומרת "אנחנו מוציאים CVE, אבל אנחנו גם שולחים הודעה ללקוחות כי אם זה בסביבה שאתה אחראי לתיקון, אנו ממליצים לך לתקן את זה במהירות."
לפעמים ארגון עשוי לתהות מדוע לא קיבלו הודעה על בעיה - זה כנראה בגלל שהם לא מושפעים, אומר גופטה.
