微软公司可能听起来像一个反直觉的请求:请尝试更频繁地入侵Azure。
该公司并未鼓励恶意攻击,但它确实希望安全研究人员花更多时间在其旗舰云服务上挖洞,以便公司可以了解漏洞并修复漏洞。
许多所谓的白帽黑客为公司的旧产品(如Windows,Office和浏览器)执行此操作,但在Azure上工作不够,负责监督微软安全响应中心社区计划的Kymberlee Price说中国机械网okmao.com。该公司正在计划改变这一步骤的几个步骤,包括明确表示不会对研究人员采取法律行动,并创建一个类似游戏的奖励系统,该系统可以提供成功的找错工具和吹牛的权利。
微软目前为Azure提供bug赏金支付,但“它只是没有得到我希望看到的那么多活动,”Price补充道。
这是微软需要担心的一个问题,因为它会对云服务的收入增长产生巨大影响。向云计算的转变正在改变网络安全,提供新的机遇和新的挑战。最大的风险之一是微软现在为其云中的客户提供服务,这意味着该软件巨头正处于保护他们的困境之中。
微软计划发布所谓的安全港声明,为研究人员提供法律许可,以报告漏洞。“我们总是那样做,但我们从来没有正式明确表达过,”普赖斯说。她表示,随着研究人员更多地在云系统上工作,他们可能会担心他们会意外地将服务脱机或访问客户数据并陷入困境,因此发布正式的政策非常重要。
在2000年的第一次微软工作中,普莱斯是安全工程师之一,该公司努力与安全研究人员合作,而不是将他们视为对手。她于2009年离开,并在两年多前回归。
Azure首席技术官Mark Russinovich表示,目前攻击者仍然比云更频繁地定位位于公司自己办公室的网络,但这种情况正在发生变化。“随着云的持续增长,攻击者的复杂程度和对(攻击)云的兴趣不断增长,”他补充说。
云安全需要新的工具和技术,但它也使像微软这样的公司能够跟踪和分析大量数据,以查找数十万客户的恶意行为者和扫描网络,从而实现攻击。
Russinovich谈到了在微软举行的学术会议上保护云,这次会议由数百名来自亚马逊网络服务,谷歌,耐克公司和其他公司的微软员工和安全工程师参加。该活动源于一个包含微软的Ram Shankar Siva Kumar的小组运营团队,他负责监督将机器学习 应用于网络安全的工程师团队,以及AWS和Google的同行。该小组经常在路上分享技术和研究,并且正式会议交换意见的想法诞生了。
希望公开分享数据,工具和技术将有助于每个人更好地抵御攻击者。微软云和人工智能安全总经理Steve Dispensa表示,只要私人客户信息受到保护,微软就希望共享安全数据。
“我们比攻击者更聪明的想法是一个恶意的神话 - 他们在我们做弱点之前知道,”他说。“我们发布的数据,我们都知道,涨潮会使所有船只升起。”