- Microsoft расширяет программу вознаграждений за обнаружение критических уязвимостей на все свои онлайн-сервисы, включая компоненты третьих сторон.
- Выплаты будут осуществляться независимо от того, кто написал код — Microsoft, сторонняя компания или открытый исходный код.
- За последний год Microsoft выплатила исследователям безопасности более $17 млн, укрепляя приоритет безопасности в своих продуктах и услугах.
Компания Microsoft объявила о значительном расширении своей программы баг-баунти, теперь охватывающей все онлайн-сервисы компании и их компоненты, вне зависимости от авторства кода. Это было раскрыто на конференции Black Hat Europe Томом Галлахером, который занимает пост вице-президента по разработке в Центре реагирования на угрозы безопасности Microsoft.
Галахер подчеркнул, что злоумышленники не различают, используется ли уязвимый код, созданный Microsoft, третьей стороной или это открытое программное обеспечение. Соответственно, компания решила платить вознаграждения за обнаружение критических уязвимостей, которые напрямую влияют на её онлайн-сервисы, независимо от источника уязвимостей. Такой подход является нацеленной мерой по более эффективному выявлению и устранению угроз безопасности.
По данным самой Microsoft, за последние 12 месяцев ей удалось выплатить более $17 млн 344 исследователям безопасности, что немного превышает показатели предыдущего года и отражает устойчивую поддержку инициатив безопасности. Важно отметить, что в августе 2024 года компания также расширила программу вознаграждений для платформы .NET, установив максимальные выплаты до $40 тысяч за критические уязвимости, связанные с удалённым выполнением кода или повышением привилегий.
Это решение соответствует более широкой стратегии Microsoft «Безопасное будущее», подразделение которой уделяет особое внимание приоритету обеспечения безопасности продуктов и сервисов. В рамках этой инициативы компания уже реализовала ряд важных мер, включая отключение элементов управления ActiveX в новых версиях Microsoft 365 и Office для Windows, а также обновление настроек безопасности для защиты доступа к файлам SharePoint и OneDrive от устаревших протоколов. Помимо этого, компанией была усилена защита системы аутентификации Entra ID для предотвращения внешних атак через внедрение скриптов.
Таким образом, шаги Microsoft отражают зрелую и комплексную позицию в области информационной безопасности, где сотрудничество с внешними исследователями и расширение механизмов обнаружения уязвимостей становятся ключевыми элементами защиты экосистемы и бизнеса компании.
