BLACK HAT ABD — Las Vegas — Üst düzey bir Microsoft güvenlik yöneticisi bugün, şirketin güvenlik açığı açıklama politikalarının, güvenlik ekiplerinin, yamaları kötüye kullanım için hızlı bir şekilde tersine mühendislik yapmak isteyen tehdit aktörlerinin saldırısı riskine sokmadan, bilinçli yama kararları vermeleri için yeterli bilgi sağladığını savundu. .
Microsoft'un Güvenlik Yanıt Merkezi'nin kurumsal başkan yardımcısı Aanchal Gupta, Black Hat USA'dan Dark Reading ile yaptığı görüşmede, şirketin kullanıcıları korumak için başlangıçta CVE'leriyle sağladığı bilgileri bilinçli olarak sınırlamaya karar verdiğini söyledi. Microsoft CVE'ler hatanın ciddiyeti ve kötüye kullanılma olasılığı (ve aktif olarak yararlanılıp yararlanılmadığı) hakkında bilgi sağlarken, şirket güvenlik açığından yararlanma bilgilerini nasıl yayınlayacağı konusunda dikkatli olacaktır.
Gupta, çoğu güvenlik açığı için Microsoft'un mevcut yaklaşımının, CVE'yi güvenlik açığı ve yararlanılabilirliği hakkında daha fazla ayrıntıyla doldurmadan önce yama açıklamasından itibaren 30 günlük bir süre vermek olduğunu söylüyor. Amaç, güvenlik yönetimlerine yamayı onları tehlikeye atmadan uygulayabilmeleri için yeterli zaman vermek olduğunu söylüyor. Gupta, "CVE'mizde güvenlik açıklarından nasıl yararlanılabileceğine ilişkin tüm ayrıntıları sağlarsak, müşterilerimize sıfır gün uygulaması yapmış olacağız" diyor.
Seyrek Güvenlik Açığı Bilgisi?
Microsoft - diğer büyük yazılım satıcıları gibi - şirketin güvenlik açığı açıklamalarıyla birlikte yayınladığı nispeten seyrek bilgiler nedeniyle güvenlik araştırmacıları tarafından eleştirilere maruz kaldı. Microsoft, Kasım 2020'den bu yana Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) çerçevesini kullanıyor. güvenlik güncelleştirmesi kılavuzundaki güvenlik açıklarını açıklayın. Açıklamalar, saldırı vektörü, saldırı karmaşıklığı ve bir saldırganın sahip olabileceği ayrıcalık türleri gibi özellikleri kapsar. Güncellemeler ayrıca ciddiyet sıralamasını iletmek için bir puan da sağlar.
Ancak bazıları, güncellemelerin şifreli olduğunu ve yararlanılan bileşenlere veya bunların nasıl yararlanılabileceğine ilişkin kritik bilgilerin eksik olduğunu belirtti. Microsoft'un güvenlik açıklarını "Kullanım Olasılığı Daha Yüksek" veya "Kullanım Olasılığı Daha Az" kategorisine koyma yönündeki mevcut uygulamasının, riske dayalı önceliklendirme kararları vermek için yeterli bilgi sağlamadığını belirtmişlerdir.
Son zamanlarda Microsoft, bulut güvenliği açıklarına ilişkin şeffaf olmadığı iddiasıyla da bazı eleştirilerle karşı karşıya kaldı. Haziran ayında Tenable'ın CEO'su Amit Yoran şirketi şu şekilde suçladı: Birkaç Azure güvenlik açığını "sessizce" yamalama Tenable'ın araştırmacılarının keşfettiği ve bildirdiği.
Yoran, "Bu güvenlik açıklarının her ikisi de Azure Synapse hizmetini kullanan herkes tarafından kullanılabilir" diye yazdı. "Microsoft, durumu değerlendirdikten sonra, riskleri küçümseyerek sorunlardan birine sessizce yama yapmaya karar verdi" ve müşterilere haber vermeden.
Yoran, Azure'daki güvenlik açıklarını Microsoft'a ifşa ettikten sonra benzer sorunlarla karşılaşan Orca Security ve Wiz gibi diğer sağlayıcılara dikkat çekti.
MITRE'nin CVE Politikalarıyla tutarlı
Gupta, Microsoft'un bir güvenlik açığı için CVE yayınlayıp yayınlamama konusundaki kararının MITRE'nin CVE programının politikalarıyla tutarlı olduğunu söyledi.
"Politikalarına göre, müşteri işlemi gerekmiyorsa CVE yayınlamamıza gerek yok" diyor. "Amaç, kuruluşlar için gürültü seviyesini düşük tutmak ve onlara çok az şey yapabilecekleri bilgilerle yük olmamak."
"Microsoft'un işleri günlük olarak güvende tutmak için yaptığı 50 şeyi bilmenize gerek yok" diye belirtiyor.
Gupta, geçen yıl Wiz'in dört kritik güvenlik açığını açıkladığına dikkat çekiyor: Azure'da Açık Yönetim Altyapısı (OMI) bileşeni Microsoft'un bir bulut güvenlik açığının müşterileri etkileyebileceği durumları nasıl ele aldığının bir örneği olarak. Bu durumda Microsoft'un stratejisi etkilenen kuruluşlarla doğrudan iletişime geçmekti.
"Yaptığımız şey müşterilere bire bir bildirim göndermek çünkü bu bilgilerin kaybolmasını istemiyoruz" diyor ve şöyle devam ediyor: "CVE yayınlıyoruz ama aynı zamanda müşterilere de bildirim gönderiyoruz çünkü eğer bir ortamda bulunuyorsa Yama uygulama sorumluluğunun size ait olduğunu düşünüyorsanız, hızlı bir şekilde yama yapmanızı öneririz."
Bazen bir kuruluş, bir sorundan neden haberdar edilmediğini merak edebilir; Gupta, bunun büyük olasılıkla etkilenmemelerinden kaynaklandığını söylüyor.
