BLACK HAT USA — Las Vegas — Bugün üst düzey bir Microsoft güvenlik yöneticisi, şirketin güvenlik açığı ifşa etme politikalarını, güvenlik ekiplerine, istismar için yamaları hızla tersine mühendislik yapmak isteyen tehdit aktörlerinin saldırı riskine maruz bırakmadan bilinçli yama kararları vermeleri için yeterli bilgi sağladığını savundu. .
Microsoft’un Güvenlik Müdahale Merkezi’nin kurumsal başkan yardımcısı Aanchal Gupta, Black Hat USA’da Dark Reading ile yaptığı bir konuşmada, şirketin kullanıcıları korumak için başlangıçta sağladığı bilgileri CVE’leriyle sınırlamaya bilinçli olarak karar verdiğini söyledi. Microsoft CVE’leri, hatanın ciddiyeti ve istismar edilme olasılığı (ve aktif olarak istismar edilip edilmediği) hakkında bilgi sağlarken, şirket, güvenlik açığından yararlanma bilgilerini nasıl yayınladığı konusunda makul olacaktır.
Gupta, çoğu güvenlik açığı için Microsoft’un şu anki yaklaşımının, CVE’yi güvenlik açığı ve istismar edilebilirliği hakkında daha fazla ayrıntıyla doldurmadan önce yamanın açıklanmasından itibaren 30 günlük bir süre vermek olduğunu söylüyor. Amaç, güvenlik yönetimlerine yamayı tehlikeye atmadan uygulamak için yeterli zaman vermektir, diyor. Gupta, “CVE’mizde güvenlik açıklarından nasıl yararlanılabileceğinin tüm ayrıntılarını sağladıysak, müşterilerimizi sıfırdan gün ediyor olacağız” diyor.
Seyrek Güvenlik Açığı Bilgisi?
Microsoft – diğer büyük yazılım satıcıları gibi – şirketin güvenlik açığı açıklamalarıyla yayınladığı nispeten seyrek bilgiler nedeniyle güvenlik araştırmacılarının eleştirileriyle karşı karşıya kaldı. Microsoft, Kasım 2020’den bu yana Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) çerçevesini şu amaçlarla kullanıyor: güvenlik güncelleme kılavuzundaki güvenlik açıklarını açıklayın. Açıklamalar, saldırı vektörü, saldırı karmaşıklığı ve bir saldırganın sahip olabileceği ayrıcalık türleri gibi özellikleri kapsar. Güncellemeler ayrıca önem derecesi sıralamasını iletmek için bir puan sağlar.
Bununla birlikte, bazıları güncellemeleri şifreli ve istismar edilen bileşenler veya bunların nasıl istismar edilebileceği hakkında kritik bilgilerden yoksun olarak tanımladı. Microsoft’un güvenlik açıklarını “Daha Büyük Olasılıkla Sömürü” veya “Daha Az Olasılıkla Sömürü” paketine yerleştirme uygulamasının, riske dayalı önceliklendirme kararları vermek için yeterli bilgi sağlamadığını belirtmişlerdir.
Daha yakın zamanlarda, Microsoft, bulut güvenlik açıklarıyla ilgili şeffaflık eksikliği iddiasıyla da bazı eleştirilerle karşı karşıya kaldı. Haziran ayında Tenable’ın CEO’su Amit Yoran şirketi suçladı. Birkaç Azure güvenlik açığını “sessizce” düzeltme Tenable’ın araştırmacılarının keşfettiği ve bildirdiği.
Yoran, “Bu güvenlik açıklarının her ikisi de Azure Synapse hizmetini kullanan herkes tarafından kullanılabilir” diye yazdı. “Durumu değerlendirdikten sonra, Microsoft, müşterileri bilgilendirmeden, riskleri küçümseyerek sorunlardan birini sessizce düzeltmeye karar verdi”.
Yoran, Azure’daki güvenlik açıklarını Microsoft’a açıkladıktan sonra benzer sorunlarla karşılaşan Orca Security ve Wiz gibi diğer satıcılara işaret etti.
MITRE’nin CVE Politikaları ile tutarlı
Gupta, Microsoft’un bir güvenlik açığı için CVE yayınlayıp yayınlamama kararının MITRE’nin CVE programının politikalarıyla tutarlı olduğunu söyledi.
“Politikalarına göre, herhangi bir müşteri eylemi gerekmiyorsa, CVE yayınlamamız gerekmiyor” diyor. “Amaç, kuruluşlar için gürültü seviyesini düşük tutmak ve onlara çok az şey yapabilecekleri bilgiler yüklememek.”
“Microsoft’un işleri günlük olarak güvende tutmak için yaptığı 50 şeyi bilmenize gerek yok” diye belirtiyor.
Gupta, Microsoft’un bir bulut güvenlik açığının müşterileri etkileyebileceği durumları nasıl ele aldığına bir örnek olarak, Wiz tarafından Azure’daki Açık Yönetim Altyapısı (OMI) bileşenindeki dört kritik güvenlik açığının geçen yıl açıklanmasına işaret ediyor. Bu durumda, Microsoft’un stratejisi, etkilenen kuruluşlarla doğrudan iletişim kurmaktı.
“Yaptığımız şey, bu bilgilerin kaybolmasını istemediğimiz için müşterilere bire bir bildirimler göndermek,” diyor ve ekliyor: “Bir CVE yayınlıyoruz, ancak aynı zamanda müşterilere bir bildirim gönderiyoruz çünkü bu bir ortamdaysa yama yapmaktan sorumlusunuz, hızlı bir şekilde yama yapmanızı öneririz.”
Gupta, bazen bir kuruluş neden bir sorundan haberdar edilmediğini merak edebilir – bunun nedeni muhtemelen etkilenmemeleridir.
