„Microsoft“ dabar moka saugos tyrėjams už tai, kad jie rastų kritinių spragų bet kurioje iš savo internetinių paslaugų, neatsižvelgiant į tai, ar kodą parašė „Microsoft“, ar trečioji šalis.
Apie šį politikos pokytį trečiadienį Black Hat Europe pranešė Tomas Gallagheris, Microsoft Security Response Center inžinerijos viceprezidentas.
Kaip paaiškino Gallagheris, užpuolikai, išnaudodami pažeidžiamumą, neskiria Microsoft kodo ir trečiųjų šalių komponentų, todėl bendrovė išplėtė savo klaidų mažinimo programą, kad ji pagal numatytuosius nustatymus apimtų visas Microsoft internetines paslaugas, o visos naujos paslaugos bus taikomos vos tik jas išleidus.
Dabar programoje taip pat yra saugos trūkumų, susijusių su trečiųjų šalių priklausomybėmis, įskaitant komercinius arba atvirojo kodo komponentus, jei jie turi įtakos „Microsoft“ internetinėms paslaugoms.
„Nuo šiandien, jei kritinis pažeidžiamumas daro tiesioginį ir akivaizdų poveikį mūsų internetinėms paslaugoms, jis gali gauti premiją. Nepriklausomai nuo to, ar kodas priklauso Microsoft, trečiajai šaliai ir jį valdo, ar yra atvirojo kodo, mes padarysime viską, ko reikia, kad išspręstume problemą”, – sakė Gallagheris.
„Mūsų tikslas yra paskatinti mokslinius tyrimus didžiausios rizikos srityse, ypač tose srityse, kuriomis grėsmės veikėjai greičiausiai išnaudos. Ten, kur nėra premijų programų, mes įvertinsime ir apdovanosime įvairias saugumo tyrimų bendruomenės įžvalgas, kad ir kur jie būtų naudingi.”
„Microsoft“ per pastaruosius 12 mėnesių išmokėjo daugiau nei 17 mln. USD premijų 344 saugumo tyrinėtojams ir dar 16,6 mln.
Šiandieninis pranešimas yra platesnės „Microsoft“ saugios ateities iniciatyvos, skirtos teikti pirmenybę saugumui visose įmonės veiklose, dalis.
Vykdydama tą pačią iniciatyvą, „Microsoft“ taip pat išjungė visus „ActiveX“ valdiklius „Microsoft 365“ ir „Office 2024“ programų „Windows“ versijose ir atnaujino „Microsoft 365“ saugos numatytuosius nustatymus, kad blokuotų prieigą prie „SharePoint“, „OneDrive“ ir „Office“ failų naudojant senus autentifikavimo protokolus.
Visai neseniai ji pradėjo diegti naują „Teams“ funkciją, skirtą blokuoti ekrano fiksavimo bandymus susitikimų metu, ir paskelbė apie planus apsaugoti „Entra ID“ prisijungimus nuo scenarijaus injekcijos atakų.
Sugedęs IAM yra ne tik IT problema – poveikis skleidžiasi visame versle.
Šiame praktiniame vadove aprašoma, kodėl tradicinė IAM praktika neatitinka šiuolaikinių reikalavimų, pateikiami pavyzdžiai, kaip atrodo „geras“ IAM, ir paprastas kontrolinis sąrašas, kaip sukurti keičiamo dydžio strategiją.
