BLACK HAT USA — Лас-Вегас — Сьогодні вищий керівник служби безпеки Microsoft захистив політику компанії щодо розкриття вразливостей як таку, що надає достатньо інформації для команд безпеки для прийняття обґрунтованих рішень щодо виправлення, не наражаючи їх на ризик атак з боку загрозливих суб’єктів, які прагнуть швидко переробити виправлення для використання. .
У розмові з Dark Reading із Black Hat USA корпоративний віце-президент Microsoft Security Response Center Аанчал Гупта сказав, що компанія свідомо вирішила обмежити інформацію, яку вона спочатку надає за допомогою своїх CVE, щоб захистити користувачів. Хоча Microsoft CVE надає інформацію про серйозність помилки та ймовірність її використання (а також про те, чи активно вона використовується), компанія розсудливо підійде до того, як вона опублікує інформацію про використання вразливості.
За словами Гупти, для більшості вразливостей поточний підхід Microsoft полягає в тому, щоб надати 30-денне вікно з моменту розкриття виправлення, перш ніж вона заповнить CVE докладнішими відомостями про вразливість і можливість її використання. Мета полягає в тому, щоб дати адміністраторам безпеки достатньо часу для застосування виправлення, не ставлячи під загрозу їх роботу, каже вона. «Якщо в нашому CVE ми надамо всі деталі того, як можна використовувати вразливості, ми будемо нульовими клієнтами», — каже Гупта.
Недостатня інформація про вразливість?
Microsoft — як і інші великі постачальники програмного забезпечення — зіткнулася з критикою з боку дослідників безпеки за відносно скупу інформацію, яку компанія оприлюднює разом із розкриттям уразливостей. З листопада 2020 року Microsoft використовує загальну систему оцінки вразливостей (CVSS), щоб описати вразливості в посібнику з оновлення безпеки. Описи охоплюють такі атрибути, як вектор атаки, складність атаки та тип привілеїв, які може мати зловмисник. Оновлення також надають оцінку, щоб передати рейтинг серйозності.
Проте деякі описали оновлення як загадкові та не містять критично важливої інформації про компоненти, що експлуатуються, або як вони можуть бути використані. Вони відзначили, що поточна практика Microsoft відносити вразливості до категорії «Експлуатація більш вірогідна» або «Експлуатація менш ймовірна» не надає достатньо інформації для прийняття рішень щодо пріоритетності на основі ризику.
Нещодавно Microsoft також зіткнулася з певною критикою через нібито відсутність прозорості щодо вразливостей безпеки хмари. У червні генеральний директор Tenable Аміт Йоран звинуватив компанію в «тихе» виправлення кількох вразливостей Azure що виявили та повідомили дослідники Tenable.
«Обидві ці вразливості були використані будь-ким, хто використовує службу Azure Synapse», — написав Йоран. «Після оцінки ситуації Microsoft вирішила тихо виправити одну з проблем, применшуючи ризик», і не повідомляючи клієнтів.
Йоран вказав на інших постачальників, таких як Orca Security і Wiz, які зіткнулися з подібними проблемами після того, як розкрили Microsoft уразливості в Azure.
Відповідно до Політики CVE MITRE
Гупта каже, що рішення Microsoft про те, чи видавати CVE для вразливості, узгоджується з політикою програми CVE MITRE.
«Згідно з їхньою політикою, якщо клієнту не потрібні дії, ми не зобов’язані видавати CVE», — каже вона. «Мета полягає в тому, щоб знизити рівень шуму для організацій і не обтяжувати їх інформацією, з якою вони мало що можуть зробити».
«Вам не потрібно знати 50 речей, які Microsoft робить для щоденної безпеки», — зазначає вона.
Гупта вказує на торішнє розкриття компанією Wiz чотирьох критичних уразливостей у Компонент Open Management Infrastructure (OMI) в Azure як приклад того, як Microsoft вирішує ситуації, коли вразливість хмари може вплинути на клієнтів. У цій ситуації стратегія Microsoft полягала в тому, щоб безпосередньо зв’язатися з організаціями, які постраждали.
«Ми надсилаємо індивідуальні сповіщення клієнтам, тому що ми не хочемо, щоб ця інформація була втрачена», — каже вона. що ви несете відповідальність за виправлення, ми рекомендуємо швидко це виправити».
Інколи організація може дивуватися, чому її не сповістили про проблему — ймовірно, це тому, що вона не впливає на неї, каже Гупта.
