CIOها با توجه به بودجه های فناوری به ابر روی می آورند | دانش مرکز داده

BLACK HAT USA – لاس وگاس – یکی از مدیران ارشد امنیتی مایکروسافت امروز از سیاست‌های افشای آسیب‌پذیری این شرکت دفاع کرد، زیرا اطلاعات کافی برای تیم‌های امنیتی فراهم می‌کند تا تصمیمات اصلاحی آگاهانه اتخاذ کنند، بدون اینکه آنها را در معرض خطر حمله عوامل تهدید قرار دهد که به دنبال مهندسی معکوس سریع وصله‌ها برای بهره‌برداری هستند. .

در گفتگو با Dark Reading در Black Hat USA، معاون شرکتی مرکز پاسخگویی امنیتی مایکروسافت، Aanchal Gupta، گفت که این شرکت آگاهانه تصمیم گرفته است اطلاعاتی را که در ابتدا با CVE های خود ارائه می دهد محدود کند تا از کاربران محافظت کند. در حالی که CVE های مایکروسافت اطلاعاتی را در مورد شدت باگ و احتمال سوء استفاده از آن (و اینکه آیا به طور فعال مورد سوء استفاده قرار می گیرد یا خیر) ارائه می دهند، این شرکت در مورد نحوه انتشار اطلاعات سوء استفاده از آسیب پذیری عاقلانه عمل خواهد کرد.

گوپتا می‌گوید، برای اکثر آسیب‌پذیری‌ها، رویکرد فعلی مایکروسافت این است که قبل از پر کردن CVE با جزئیات بیشتر در مورد آسیب‌پذیری و قابلیت بهره‌برداری، یک پنجره 30 روزه از افشای وصله ارائه کند. او می گوید که هدف این است که به اداره های امنیتی زمان کافی برای اعمال وصله بدون به خطر انداختن آنها داده شود. گوپتا می‌گوید: «اگر در CVE خود، تمام جزئیات مربوط به نحوه بهره‌برداری از آسیب‌پذیری‌ها را ارائه دهیم، مشتریان خود را روز صفر خواهیم کرد.

اطلاعات آسیب پذیری پراکنده؟

مایکروسافت – به عنوان دیگر فروشندگان بزرگ نرم افزار – به دلیل اطلاعات نسبتاً کمی که شرکت با افشای آسیب پذیری خود منتشر می کند، با انتقاد محققان امنیتی روبرو شده است. از نوامبر 2020، مایکروسافت از چارچوب سیستم امتیازدهی آسیب پذیری مشترک (CVSS) برای توصیف آسیب پذیری ها در راهنمای به روز رسانی امنیتی خود استفاده می کند. توضیحات شامل ویژگی هایی مانند بردار حمله، پیچیدگی حمله، و نوع امتیازاتی است که یک مهاجم ممکن است داشته باشد. به‌روزرسانی‌ها همچنین امتیازی را برای انتقال رتبه‌بندی شدت ارائه می‌کنند.

با این حال، برخی به‌روزرسانی‌ها را رمزآلود و فاقد اطلاعات حیاتی در مورد مؤلفه‌های مورد سوء استفاده یا نحوه بهره‌برداری از آنها توصیف کرده‌اند. آنها اشاره کرده اند که رویه فعلی مایکروسافت در قرار دادن آسیب پذیری ها در یک سطل “Exploitation More Rekely” یا “Exploitation Less Rekely” اطلاعات کافی برای اتخاذ تصمیمات اولویت بندی مبتنی بر ریسک را ارائه نمی دهد.

اخیراً، مایکروسافت به دلیل عدم شفافیت ادعایی خود در مورد آسیب پذیری های امنیتی ابری نیز با انتقاداتی مواجه شده است. در ماه ژوئن، مدیر عامل Tenable، آمیت یوران، این شرکت را متهم کرد که به طور “بی صدا” چند آسیب پذیری Azure را که محققان Tenable کشف و گزارش کرده بودند، اصلاح کرده است.

Yoran نوشت: «هر دوی این آسیب‌پذیری‌ها توسط هر کسی که از سرویس Azure Synapse استفاده می‌کرد، قابل بهره‌برداری بود. پس از ارزیابی وضعیت، مایکروسافت تصمیم گرفت در سکوت یکی از مشکلات را برطرف کند و خطر را کم اهمیت جلوه دهد، و بدون اطلاع مشتریان.

Yoran به فروشندگان دیگری مانند Orca Security و Wiz اشاره کرد که پس از افشای آسیب‌پذیری‌های Azure برای مایکروسافت، با مشکلات مشابهی مواجه شدند.

مقاله در دارک ریدینگ ادامه یافت