微软希望更多的安全研究人员入侵其云

微软公司有听起来像是违反直觉的要求: 请尝试更频繁地入侵Azure。该公司并不鼓励恶意攻击，但它确实希望安全研究人员花更多的时间在其旗舰云服务中挖洞，以便公司了解缺陷并修复它们。

微软安全响应中心负责社区程序的Kymberlee price说，许多所谓的白帽黑客为该公司的较旧产品 (如Windows，Office和浏览器) 做到了这一点，但在Azure上的工作还不够。该公司正计划采取几个步骤来改变这一点，包括明确声明不会对研究人员采取法律行动，并创建一个类似游戏的奖励系统，为成功的错误发现者提供特权和吹牛的权利。

微软目前为Azure提供bug赏金，但 “它没有得到我想看到的那么多的活动，” 普莱斯补充说。

这是微软需要担心的问题，因为它在云服务上押注了巨大的收入增长。向云计算的转变正在改变网络安全，提供了新的机遇和新的挑战。最大的风险之一是，微软现在在其云中为客户运行服务，这意味着这家软件巨头正面临保护他们的困境。

微软正计划发布所谓的安全港声明，给予研究人员法律许可，以报告漏洞。普莱斯说: “我们一直这样做，但我们从未正式阐明过。”她说，发布正式政策很重要，因为研究人员在云系统上开展更多工作，他们可能会担心他们会意外将服务脱机或访问客户数据并遇到麻烦。

在21世纪00年代微软的第一个工作中，普莱斯是该公司与安全研究人员合作的先驱之一，而不是将他们视为对手。她离开2009年，两年多前回来了。

Azure首席技术官Mark Russinovich表示，目前，攻击者仍然比云更频繁地瞄准位于公司自己办公室的网络，但这种情况正在改变。他补充说: “随着云的持续增长，攻击者的复杂程度和对 (攻击) 云的兴趣继续增长。”

云安全需要新的工具和技术，但它也使像微软这样的公司能够跟踪和分析大量数据，以找到恶意行为者并扫描数十万客户的网络，这样它就可以看到攻击的实现。

Russinovich在微软的一次学术会议上谈到了保护云，来自Amazon Web Services，Google，Nike inc. 和其他公司的数百名Microsoft工作人员和安全工程师参加了会议。该活动源于一个跟踪小组，其中包括微软的Ram Shankar Siva Kumar，他负责监督将机器学习应用于网络安全的工程师团队，以及AWS和Google的同行。该小组经常在旅途中分享技术和研究成果，并诞生了正式会议以交流思想的想法。

希望公开共享数据，工具和技术将帮助每个人更好地抵御攻击者。微软云和AI安全总经理Steve disica表示，只要私人客户信息受到保护，微软就希望共享安全数据。

他说: “我们比攻击者更聪明的想法是一个恶性的神话 -- 他们在我们做弱点之前就知道了。”“我们公布数据，我们都了解到，涨潮抬高了所有船只。”