BLACK HAT SUA — Las Vegas — Un director de securitate Microsoft de top a apărat astăzi politicile companiei de dezvăluire a vulnerabilităților ca oferind suficiente informații pentru echipele de securitate pentru a lua decizii informate de corecție fără a le expune riscului de atac din partea actorilor amenințărilor care doresc să modifice rapid patch-urile pentru exploatare .
Într-o conversație cu Dark Reading la Black Hat USA, vicepreședintele corporativ al Centrului de răspuns de securitate al Microsoft, Aanchal Gupta, a declarat că compania a decis în mod conștient să limiteze informațiile pe care le furnizează inițial cu CVE-urile sale pentru a proteja utilizatorii. În timp ce CVE-urile Microsoft oferă informații despre gravitatea erorii și probabilitatea ca acesta să fie exploatat (și dacă este exploatat în mod activ), compania va fi judicioasă în ceea ce privește modul în care eliberează informații despre exploatarea vulnerabilităților.
Pentru majoritatea vulnerabilităților, abordarea actuală a Microsoft este de a oferi o fereastră de 30 de zile de la dezvăluirea patch-urilor înainte de a completa CVE cu mai multe detalii despre vulnerabilitate și exploatarea acesteia, spune Gupta. Scopul este de a oferi administrațiilor de securitate suficient timp pentru a aplica patch-ul fără a le pune în pericol, spune ea. „Dacă în CVE-ul nostru am furnizat toate detaliile despre cum pot fi exploatate vulnerabilitățile, ne vom oferi clienților noștri ziua zero”, spune Gupta.
Informații rare despre vulnerabilități?
Microsoft – ca și alți furnizori importanți de software – s-a confruntat cu critici din partea cercetătorilor de securitate pentru informațiile relativ rare pe care compania le eliberează cu dezvăluirile sale de vulnerabilități. Din noiembrie 2020, Microsoft folosește cadrul Common Vulnerability Scoring System (CVSS) pentru a descrieți vulnerabilitățile în ghidul său de actualizare de securitate. Descrierile acoperă atribute precum vectorul de atac, complexitatea atacului și tipul de privilegii pe care le poate avea un atacator. Actualizările oferă, de asemenea, un scor pentru a transmite clasamentul severității.
Cu toate acestea, unii au descris actualizările ca fiind criptice și lipsite de informații critice despre componentele care sunt exploatate sau despre cum ar putea fi exploatate. Ei au remarcat că practica actuală a Microsoft de a pune vulnerabilități într-un compartiment „Exploitare mai probabilă” sau „Exploitare mai puțin probabilă” nu oferă suficiente informații pentru a lua decizii de prioritizare bazate pe risc.
Mai recent, Microsoft s-a confruntat și cu unele critici pentru presupusa sa lipsă de transparență în ceea ce privește vulnerabilitățile de securitate în cloud. În iunie, CEO-ul Tenable, Amit Yoran, a acuzat compania de corectând „în tăcere” câteva vulnerabilități Azure pe care cercetătorii lui Tenable îl descoperiseră și raportaseră.
„Ambele aceste vulnerabilități au fost exploatate de oricine folosește serviciul Azure Synapse”, a scris Yoran. „După evaluarea situației, Microsoft a decis să corecteze în tăcere una dintre probleme, minimizând riscul” și fără a anunța clienții.
Yoran a arătat către alți furnizori, cum ar fi Orca Security și Wiz, care au întâmpinat probleme similare după ce au dezvăluit vulnerabilităților din Azure către Microsoft.
În conformitate cu Politicile CVE ale MITRE
Gupta spune că decizia Microsoft cu privire la emiterea unui CVE pentru o vulnerabilitate este în concordanță cu politicile programului CVE al MITRE.
„În conformitate cu politica lor, dacă nu este nevoie de acțiuni ale clienților, nu suntem obligați să emitem un CVE”, spune ea. „Scopul este de a menține nivelul de zgomot scăzut pentru organizații și de a nu le împovăra cu informații cu care nu pot face nimic.”
„Nu trebuie să știți cele 50 de lucruri pe care Microsoft le face pentru a menține lucrurile în siguranță în fiecare zi”, notează ea.
Gupta subliniază dezvăluirea de anul trecut de către Wiz a patru vulnerabilități critice în Componenta Open Management Infrastructure (OMI) în Azure ca un exemplu al modului în care Microsoft gestionează situațiile în care o vulnerabilitate cloud ar putea afecta clienții. În această situație, strategia Microsoft a fost să contacteze direct organizațiile care sunt afectate.
„Ceea ce facem este să trimitem notificări unu-la-unu clienților pentru că nu vrem ca aceste informații să se piardă”, spune ea „Emitem un CVE, dar trimitem și o notificare clienților, deoarece, dacă este într-un mediu. că sunteți responsabil pentru patch-uri, vă recomandăm să îl aplicați rapid.”
Uneori, o organizație s-ar putea întreba de ce nu a fost notificată cu privire la o problemă - asta este probabil pentru că nu sunt afectate, spune Gupta.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
