您的位置:首页 >要闻 >

微软希望更多的安全研究人员入侵其云

微软公司有听起来像是违反直觉的要求: 请尝试更频繁地入侵Azure。该公司并不鼓励恶意攻击,但它确实希望安全研究人员花更多的时间在其旗舰云服务中挖洞,以便公司了解缺陷并修复它们。

微软安全响应中心负责社区程序的Kymberlee price说,许多所谓的白帽黑客为该公司的较旧产品 (如Windows,Office和浏览器) 做到了这一点,但在Azure上的工作还不够。该公司正计划采取几个步骤来改变这一点,包括明确声明不会对研究人员采取法律行动,并创建一个类似游戏的奖励系统,为成功的错误发现者提供特权和吹牛的权利。

微软目前为Azure提供bug赏金,但 “它没有得到我想看到的那么多的活动,” 普莱斯补充说。

这是微软需要担心的问题,因为它在云服务上押注了巨大的收入增长。向云计算的转变正在改变网络安全,提供了新的机遇和新的挑战。最大的风险之一是,微软现在在其云中为客户运行服务,这意味着这家软件巨头正面临保护他们的困境。

微软正计划发布所谓的安全港声明,给予研究人员法律许可,以报告漏洞。普莱斯说: “我们一直这样做,但我们从未正式阐明过。”她说,发布正式政策很重要,因为研究人员在云系统上开展更多工作,他们可能会担心他们会意外将服务脱机或访问客户数据并遇到麻烦。

在21世纪00年代微软的第一个工作中,普莱斯是该公司与安全研究人员合作的先驱之一,而不是将他们视为对手。她离开2009年,两年多前回来了。

Azure首席技术官Mark Russinovich表示,目前,攻击者仍然比云更频繁地瞄准位于公司自己办公室的网络,但这种情况正在改变。他补充说: “随着云的持续增长,攻击者的复杂程度和对 (攻击) 云的兴趣继续增长。”

云安全需要新的工具和技术,但它也使像微软这样的公司能够跟踪和分析大量数据,以找到恶意行为者并扫描数十万客户的网络,这样它就可以看到攻击的实现。

Russinovich在微软的一次学术会议上谈到了保护云,来自Amazon Web Services,Google,Nike inc. 和其他公司的数百名Microsoft工作人员和安全工程师参加了会议。该活动源于一个跟踪小组,其中包括微软的Ram Shankar Siva Kumar,他负责监督将机器学习应用于网络安全的工程师团队,以及AWS和Google的同行。该小组经常在旅途中分享技术和研究成果,并诞生了正式会议以交流思想的想法。

希望公开共享数据,工具和技术将帮助每个人更好地抵御攻击者。微软云和AI安全总经理Steve disica表示,只要私人客户信息受到保护,微软就希望共享安全数据。

他说: “我们比攻击者更聪明的想法是一个恶性的神话 -- 他们在我们做弱点之前就知道了。”“我们公布数据,我们都了解到,涨潮抬高了所有船只。”

相关推荐

猜你喜欢

特别关注