BLACK HAT USA — ลาสเวกัส — ผู้บริหารด้านความปลอดภัยระดับสูงของ Microsoft ได้ปกป้องนโยบายการเปิดเผยช่องโหว่ของบริษัท โดยให้ข้อมูลที่เพียงพอสำหรับทีมรักษาความปลอดภัยในการตัดสินใจแพตช์อย่างมีข้อมูลโดยไม่ทำให้พวกเขาเสี่ยงต่อการถูกโจมตีจากผู้คุกคามที่ต้องการแพตช์วิศวกรรมย้อนกลับอย่างรวดเร็วสำหรับการแสวงหาผลประโยชน์ .
ในการสนทนากับ Dark Reading ที่ Black Hat USA รองประธานบริษัท Security Response Center ของ Microsoft, Aanchal Gupta กล่าวว่าบริษัทได้ตัดสินใจที่จะจำกัดข้อมูล CVE ที่ให้ไว้ในตอนแรกเพื่อปกป้องผู้ใช้ แม้ว่า CVE ของ Microsoft จะให้ข้อมูลเกี่ยวกับความรุนแรงของจุดบกพร่อง และความน่าจะเป็นที่จะถูกโจมตี (และไม่ว่าจะถูกโจมตีอย่างแข็งขันหรือไม่ก็ตาม) บริษัทจะระมัดระวังในการเปิดเผยข้อมูลการใช้ประโยชน์จากช่องโหว่
สำหรับช่องโหว่ส่วนใหญ่ แนวทางปัจจุบันของ Microsoft คือการให้กรอบเวลา 30 วันจากการเปิดเผยแพตช์ก่อนที่จะกรอกข้อมูลใน CVE พร้อมรายละเอียดเพิ่มเติมเกี่ยวกับช่องโหว่และความสามารถในการหาช่องโหว่ Gupta กล่าว เป้าหมายคือการให้เวลาฝ่ายบริหารความปลอดภัยเพียงพอที่จะใช้โปรแกรมแก้ไขโดยไม่ทำอันตรายต่อพวกเขา เธอกล่าว “หากใน CVE ของเรา เราได้ให้รายละเอียดทั้งหมดเกี่ยวกับวิธีการใช้ประโยชน์จากช่องโหว่ เราจะไม่ทำให้ลูกค้าของเราเป็นศูนย์” Gupta กล่าว
ข้อมูลช่องโหว่ที่กระจัดกระจาย?
Microsoft ในฐานะผู้จำหน่ายซอฟต์แวร์รายใหญ่รายอื่น ต้องเผชิญกับการวิพากษ์วิจารณ์จากนักวิจัยด้านความปลอดภัยเกี่ยวกับข้อมูลที่ค่อนข้างกระจัดกระจายที่บริษัทเผยแพร่พร้อมกับการเปิดเผยช่องโหว่ ตั้งแต่เดือนพฤศจิกายน 2020 Microsoft ได้ใช้เฟรมเวิร์ก Common Vulnerability Scoring System (CVSS) เพื่อ อธิบายช่องโหว่ในคู่มือการอัพเดทความปลอดภัย. คำอธิบายครอบคลุมคุณลักษณะต่างๆ เช่น เวกเตอร์การโจมตี ความซับซ้อนของการโจมตี และประเภทของสิทธิพิเศษที่ผู้โจมตีอาจมี การอัปเดตยังให้คะแนนเพื่อถ่ายทอดการจัดอันดับความรุนแรง
อย่างไรก็ตาม มีบางคนอธิบายว่าการอัปเดตเป็นความลับและไม่มีข้อมูลสำคัญเกี่ยวกับส่วนประกอบที่กำลังถูกโจมตีหรือวิธีที่อาจถูกโจมตี พวกเขาได้ตั้งข้อสังเกตว่าแนวทางปฏิบัติในปัจจุบันของ Microsoft ในการใส่ช่องโหว่ลงในบัคเก็ต "Exploitation More Likely" หรือ "Exploitation Less Likely" ไม่ได้ให้ข้อมูลเพียงพอสำหรับการตัดสินใจจัดลำดับความสำคัญตามความเสี่ยง
ไม่นานมานี้ Microsoft ยังถูกวิพากษ์วิจารณ์เนื่องจากถูกกล่าวหาว่าขาดความโปร่งใสเกี่ยวกับช่องโหว่ด้านความปลอดภัยบนคลาวด์ ในเดือนมิถุนายน Amit Yoran ซีอีโอของ Tenable กล่าวหาว่าบริษัทของ “เงียบ” ในการปะแก้ช่องโหว่ของ Azure สองสามตัว ที่นักวิจัยของ Tenable ได้ค้นพบและรายงาน
Yoran เขียนว่า “ช่องโหว่ทั้งสองนี้สามารถใช้ประโยชน์ได้โดยใครก็ตามที่ใช้บริการ Azure Synapse “หลังจากประเมินสถานการณ์แล้ว Microsoft ตัดสินใจที่จะแก้ไขปัญหาอย่างเงียบๆ โดยมองข้ามความเสี่ยง” และไม่แจ้งให้ลูกค้าทราบ
Yoran ชี้ไปที่ผู้จำหน่ายรายอื่น เช่น Orca Security และ Wiz ที่พบปัญหาที่คล้ายกันหลังจากที่พวกเขาเปิดเผยช่องโหว่ใน Azure ให้กับ Microsoft
สอดคล้องกับนโยบาย CVE ของ MITRE
Gupta กล่าวว่าการตัดสินใจของ Microsoft ในการออก CVE สำหรับช่องโหว่นั้นสอดคล้องกับนโยบายของโปรแกรม CVE ของ MITRE
“ตามนโยบายของพวกเขา หากลูกค้าไม่จำเป็นต้องดำเนินการใดๆ เราก็ไม่จำเป็นต้องออก CVE” เธอกล่าว “เป้าหมายคือเพื่อลดระดับเสียงสำหรับองค์กร และไม่สร้างภาระให้พวกเขาด้วยข้อมูลที่พวกเขาสามารถทำได้เพียงเล็กน้อย”
“คุณไม่จำเป็นต้องรู้ 50 สิ่งที่ Microsoft กำลังทำเพื่อรักษาความปลอดภัยในแต่ละวัน” เธอกล่าว
Gupta ชี้ไปที่การเปิดเผยของ Wiz เมื่อปีที่แล้วเกี่ยวกับช่องโหว่ที่สำคัญสี่ประการใน คอมโพเนนต์ Open Management Infrastructure (OMI) ใน Azure เป็นตัวอย่างวิธีที่ Microsoft จัดการกับสถานการณ์ที่ช่องโหว่ของระบบคลาวด์อาจส่งผลกระทบต่อลูกค้า ในสถานการณ์นั้น กลยุทธ์ของ Microsoft คือการติดต่อโดยตรงกับองค์กรที่ได้รับผลกระทบ
“สิ่งที่เราทำคือส่งการแจ้งเตือนแบบตัวต่อตัวให้กับลูกค้าเพราะเราไม่ต้องการให้ข้อมูลนี้สูญหาย” เธอกล่าว “เราออก CVE แต่เรายังส่งการแจ้งเตือนให้กับลูกค้าเพราะหากอยู่ในสภาพแวดล้อม ที่คุณรับผิดชอบในการแพตช์ เราขอแนะนำให้คุณแก้ไขโดยเร็ว”
บางครั้งองค์กรอาจสงสัยว่าเหตุใดจึงไม่ได้รับแจ้งปัญหา อาจเป็นเพราะพวกเขาไม่ได้รับผลกระทบ Gupta กล่าว
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์