BLACK HAT USA — 라스베가스 — 오늘 Microsoft의 한 최고 보안 임원은 보안 팀이 패치를 악용하기 위해 신속하게 리버스 엔지니어링하려는 위협 행위자의 공격 위험에 처하지 않고 정보에 입각한 패치 결정을 내릴 수 있도록 충분한 정보를 제공하는 회사의 취약점 공개 정책을 옹호했습니다. .
Black Hat USA의 Dark Reading과의 대화에서 Microsoft 보안 대응 센터의 부사장인 Aanchal Gupta는 회사가 사용자를 보호하기 위해 CVE와 함께 초기에 제공하는 정보를 제한하기로 의식적으로 결정했다고 말했습니다. Microsoft CVE는 버그의 심각도와 악용 가능성(및 적극적으로 악용되고 있는지 여부)에 대한 정보를 제공하지만 회사는 취약점 악용 정보를 공개하는 방법에 대해 신중할 것입니다.
대부분의 취약점에 대해 Microsoft의 현재 접근 방식은 취약점 및 취약점 악용 가능성에 대한 자세한 내용으로 CVE를 채우기 전에 패치 공개로부터 30일의 기간을 제공하는 것이라고 굽타는 말합니다. 목표는 보안 관리자가 위험에 처하지 않으면서 패치를 적용할 수 있는 충분한 시간을 주는 것이라고 그녀는 말합니다. 굽타는 "CVE에서 취약점이 어떻게 악용될 수 있는지에 대한 모든 세부 정보를 제공하면 고객을 제로 데이팅할 것"이라고 말했습니다.
희소한 취약점 정보?
Microsoft는 다른 주요 소프트웨어 공급업체와 마찬가지로 취약성 공개와 함께 회사에서 공개하는 상대적으로 희소한 정보로 인해 보안 연구원의 비판에 직면해 있습니다. Microsoft는 2020년 XNUMX월부터 CVSS(Common Vulnerability Scoring System) 프레임워크를 사용하여 보안 업데이트 가이드의 취약점 설명. 설명은 공격 벡터, 공격 복잡성 및 공격자가 가질 수 있는 권한의 종류와 같은 속성을 다룹니다. 업데이트는 심각도 순위를 전달하는 점수도 제공합니다.
그러나 일부에서는 업데이트가 비밀스럽고 악용되는 구성 요소 또는 악용 방법에 대한 중요한 정보가 부족하다고 설명했습니다. 그들은 취약점을 "가능성이 높은 공격" 또는 "가능성이 낮은 공격" 버킷에 넣는 Microsoft의 현재 관행이 위험 기반 우선 순위 결정을 내리는 데 충분한 정보를 제공하지 못한다는 점에 주목했습니다.
보다 최근에 Microsoft는 클라우드 보안 취약성과 관련하여 투명성이 부족하다는 주장에 대해 일부 비판에 직면했습니다. XNUMX월에 Tenable의 CEO Amit Yoran은 회사를 비난했습니다. 몇 가지 Azure 취약점을 "자동으로" 패치 Tenable의 연구원들이 발견하고 보고한 것입니다.
Yoran은 "이 두 취약점은 모두 Azure Synapse 서비스를 사용하는 모든 사람이 악용할 수 있었습니다. "상황을 평가한 후 Microsoft는 문제 중 하나를 조용히 패치하고 위험을 경시하기로 결정했습니다."라고 고객에게 알리지 않았습니다.
Yoran은 Microsoft에 Azure의 취약점을 공개한 후 유사한 문제가 발생한 Orca Security 및 Wiz와 같은 다른 공급업체를 지적했습니다.
MITRE의 CVE 정책과 일치
굽타는 취약점에 대한 CVE 발행 여부에 대한 마이크로소프트의 결정이 MITRE의 CVE 프로그램 정책과 일치한다고 말했다.
"그들의 정책에 따라 고객 조치가 필요하지 않은 경우 CVE를 발행할 필요가 없습니다."라고 그녀는 말합니다. "목표는 조직의 소음 수준을 낮추고 거의 할 수 없는 정보로 조직에 부담을 주지 않는 것입니다."
“Microsoft가 일상적으로 보안을 유지하기 위해 하는 50가지 작업을 알 필요는 없습니다.”라고 그녀는 말합니다.
Gupta는 Wiz가 작년에 공개한 XNUMX가지 중요한 취약점을 지적합니다. Azure의 OMI(Open Management Infrastructure) 구성 요소 Microsoft가 클라우드 취약성이 고객에게 영향을 미칠 수 있는 상황을 처리하는 방법의 예입니다. 이러한 상황에서 Microsoft의 전략은 영향을 받는 조직에 직접 연락하는 것이었습니다.
"우리가 하는 일은 이 정보가 손실되는 것을 원하지 않기 때문에 고객에게 일대일 알림을 보내는 것입니다."라고 그녀는 말합니다. 패치에 대한 책임은 사용자에게 있으므로 빨리 패치하는 것이 좋습니다."
때때로 조직은 문제에 대한 알림을 받지 못한 이유를 궁금해할 수 있습니다. 이는 영향을 받지 않기 때문일 수 있다고 굽타는 말합니다.
