Microsoft w ciągu ostatnich 12 miesięcy wypłacił łącznie 13,7 mln USD (11,3 mln GBP, 13,3 mln EUR) w ramach nagród za błędy, a 330 badaczy z 46 krajów zostało uznanych za pomoc w odkryciu i zgłoszeniu łącznie 1091 ważnych luk w zabezpieczeniach produktów firmy Redmond w całym kraju. 17 różnych programy nagród za błędy.
Luki w produktach firmy Microsoft są szczególnie cenne dla cyberprzestępców ze względu na wszechobecność jej produktów we współczesnym przedsiębiorstwie — firma Microsoft często ma do czynienia z głośnymi incydentami, takimi jak DrukujKoszmar lub ProxyLogoni jego miesięcznik Patch wtorek drop to wydarzenie, które trzeba oglądać dla specjalistów ds. bezpieczeństwa.
Na tej podstawie nagrody za błędy wypłacane przez Microsoft są zwykle wyższe, a średnia wypłata w ramach jego programu wynosi 12 000 USD, znacznie powyżej ogólnej średniej wynoszącej 3000 USD, jak donosi Specjalista od bug bounty HackerOne.
Największą płatnością dokonaną przez Microsoft w ubiegłym roku była ogromna kwota 200 000 USD w ramach programu Hyper-V za nieujawnioną lukę w zabezpieczeniach.
Dane Microsoftu, różniące się geografią, ujawniają, że większość etycznych hakerów pracujących za pośrednictwem jego programów znajduje się w Chinach, Indiach i Stanach Zjednoczonych, wyprzedzając Australię, Kanadę, Niemcy i Wielką Brytanię.
Lynne Miyashita i Madeline Eckert z Microsoftu napisały: „Wierzymy, że partnerstwo z globalną społecznością zajmującą się badaniami nad bezpieczeństwem jest zasadniczą częścią ochrony klientów i będziemy nadal inwestować i rozwijać nasze programy nagród w ramach wzmacniania tych partnerstw. Dziękujemy wszystkim badaczom, którzy w tym roku podzielili się swoimi badaniami z firmą Microsoft, aby pomóc w zabezpieczeniu milionów klientów firmy Microsoft”.
Dodali, że w ubiegłym roku Microsoft skupił się na rozwijaniu swoich programów i partnerstw w odpowiedzi na zmieniający się krajobraz zagrożeń, szczególnie w odniesieniu do produktów i usług opartych na chmurze. „Kluczowym elementem tego procesu dojrzewania jest słuchanie informacji zwrotnych od naukowców, aby usunąć bariery wejścia i lepiej ułatwić wysiłki badawcze” – powiedzieli.
„W tym roku wprowadziliśmy wyzwanie badawcze i nowe scenariusze ataków o dużym wpływie w wielu naszych programach, aby nagradzać badania skoncentrowane na najbardziej krytycznych obszarach bezpieczeństwa klientów.
„Dodanie tych scenariuszy ataków do naszych programów premiowych Azure, Dynamics 365 i Power Platform oraz M365 pomaga skoncentrować badania na najbardziej narażonych na skutki lukach w chmurze, w tym w obszarach takich jak Azure Synapse Analytics, Key Vault i Azure Kubernetes Services”.
W międzyczasie, w tym tygodniu zaprezentowana została cenna praca etycznych hakerów o dużej sile oddziaływania na Czarny Kapelusz USA w Las Vegas, gdzie specjalista od błędów crowdsourcingowych Tłum robali przeprowadził swoje pierwsze osobiste wydarzenie hakerskie na żywo od początku pandemii Covid-19 w imieniu Indeed.complatforma poszukiwania pracy.
Targi Bugcrowd w Vegas Bug Bash połączyły witrynę Indeed.com z etycznymi hakerami, aby przetestować krytyczne dla działalności firmy powierzchnie ataków i aplikacje mobilne, odkrywając potencjalnie niebezpieczne martwe punkty bezpieczeństwa i jednocześnie ulepszając metodologie testowania.
Indeed jest długoletnim klientem Bugcrowd i nagrodził już ponad 1500 ważnych zgłoszeń luk w zabezpieczeniach. Główny specjalista ds. bezpieczeństwa informacji (CISO) Anthony Moisant powiedział: „W firmie Indeed zarówno osoby poszukujące pracy, jak i pracodawcy ufają nam, że chronimy ich informacje. Ponieważ kontynuujemy szybki wzrost i rozwój produktów, wszyscy wiemy, że źli aktorzy nadal rozwijają swoje taktyki.
„Dzięki zaangażowaniu badaczy Bugcrowd w tę Bug Bash współpracujemy z dobrymi aktorami, aby pomóc wykryć i naprawić luki w zabezpieczeniach, aby pomóc ludziom w bezpiecznym znalezieniu pracy”.
„Jesteśmy podekscytowani tym najnowszym Bug Bash, ponieważ praca w zespołach pokazuje potęgę ludzkiej pomysłowości i chcemy pogratulować Indeed jako firmy stawiającej na pierwszym miejscu bezpieczeństwo, która chce jeszcze bardziej zapewnić bezpieczeństwo swoich cyfrowych zasobów” – powiedział Ashish Gupta, dyrektor generalny Bugcrowd. .
„Wraz z rozrastającą się cyfryzacją informacji i zasobów oraz wynikającym z tego wzrostem cyberzagrożeń, liderzy biznesu muszą stosować praktyki ciągłego testowania, które są zgodne z ich ciągłymi innowacjami”.