Microsoft расширяет программу вознаграждений за уязвимости

Microsoft расширяет программу вознаграждений за уязвимости

Компания Microsoft объявила о расширении программы выплаты вознаграждений за уязвимости в Windows 8.1. Эта программа стартовала в июне 2013 года. Специалисты по безопасности могут претендовать на получение до $100 тыс. за реально инновационные эксплойты против защит, встроенных в последнюю версию операционной системы (Windows 8.1).

С этого момента вознаграждение $100 тыс. могут получить не только авторы эксплойтов, но и жертвы атаки — например, сисадмины взломанных корпоративных систем или эксперты по безопасности, которые обнаружили подобную атаку в процессе своей деятельности. Это на порядок расширяет круг кандидатов на получение награды. Раньше он был ограничен только несколькими наиболее высокопрофессиональными авторами эксплойтов. С момента объявления программы в июне 2013 года только однажды была выплачена награда, пишет xakep.ru.

Теперь же получить 100 тысяч долларов от Microsoft может буквально кто угодно, кому посчастливиться стать жертвой атаки с применением 0day-эксплойта или наблюдать такую атаку со стороны.

Как и раньше, участники программы должны предоставить техническое описание атаки, которая позволяет обойти защитные технологии Windows 8.1, а также свои идеи относительно отражения такой атаки. За подходящие идеи по обороне обещают дополнительный бонус $50 тыс.

Не просто сканер, а разбор находок: SASTAV вынесли в формат ИБ-сервиса

ShiftLeft Security, разработчик платформы анализа защищённости исходного кода SASTAV, объявила о партнёрстве с провайдерами управляемых сервисов ИБ, включая системного интегратора УЦСБ. Теперь заказчики смогут передавать проверку кода и валидацию уязвимостей внешним экспертным командам.

Модель рассчитана на одну из частых проблем при работе с SAST-инструментами — большое количество ложноположительных срабатываний.

Вместо того чтобы отдавать заказчику сырой поток предупреждений, сервис предполагает полный цикл проверки: код загружается в защищённый контур платформы, проходит автоматизированный анализ небезопасных паттернов, зависимостей и конфигураций, а затем результаты дополнительно проверяют эксперты.

На выходе компания получает не просто список технических алертов, а подтверждённые уязвимости с приоритизацией, описанием возможного влияния на бизнес и рекомендациями по исправлению. Это должно снизить нагрузку на внутренние ИБ-команды и разработчиков, которым обычно приходится тратить время на разбор нерелевантных находок.

SASTAV может анализировать разные части приложения: бэкенд-сервисы, frontend, API-контуры и инфраструктурные манифесты. При оценке учитываются архитектура и бизнес-логика конкретного проекта, а критичность находок ранжируется с учётом вероятности эксплуатации.

Услуга будет доступна в двух форматах: как разовый аудит перед релизом, сертификацией или внешней проверкой, а также как регулярный сервис с согласованной периодичностью. В рамках подписки или отдельного контракта можно провести повторную проверку, чтобы подтвердить устранение найденных проблем.

Границы работ, технологический стек и объём проверяемого кода фиксируются в техническом задании. Такой формат позволяет компаниям получать внешнюю оценку защищённости разработки без необходимости полностью переносить эту нагрузку на собственные ИБ-ресурсы.

RSS: Новости на портале Anti-Malware.ru