Microsoft: мы обдуманно ввели «премии за баги»

4 марта 2014 г.

Многие годы Microsoft отказывалась вознаграждать сторонних экспертов, обнаруживавших уязвимости при тестировании ее ПО, но прошлым летом компания ввела три такие программы, так называемые «премии за баги» (bug bounty).

Чем вызвана эта перемена курса? Кейти Муссурис (Katie Moussouris), старший менеджер по стратегии ИБ Microsoft, говорит, что главная цель - нанести удар по черному рынку уязвимостей вместо того, чтобы состязаться с ним. Microsoft хочет наладить отношения с исследователями ИБ на новой основе, заявила она в четверг на конференции RSA 2014 в Сан-Франциско.

В 2010 году более 90% уязвимостей, о которых исследователи сообщили непосредственно компании, не были вознаграждены денежной премией. Вместо оплаты Microsoft называла имена этих людей в своих информационных бюллетенях.

Однако ситуация изменилась с ростом черного рынка, где сегодня можно получить до 1 млн. долл. за баги, найденные в программных продуктах вендоров. Соблазн был слишком велик, и наметилась тенденция, когда обнаруженные уязвимости стали уходить к преступному сообществу, а не сообщаться компании, поэтому Microsoft решила ввести денежные премии, сказала Муссурис.

Теперь, с вводом этих программ, Microsoft в течение всего года выплачивает вознаграждения тем, кто официально сообщит ей о новых обнаруженных уязвимостях в ее ПО. Таким образом, Microsoft стремится нейтрализовать черный рынок, сказала Муссурис.

Эндрю Плато, президент компании Anitian Enterprise Security, говорит: конечно, хорошо, что Microsoft «наконец приняла реальность и начала платить за баги», но она «очень поздно» пришла к этому. (Подобная практика широко используется на рынке ИБ.)

Питер Байби, президент и главный управляющий MSP-компании Security On-Demand, согласен, что это происходит поздновато, и всё же Microsoft заслуживает похвалы, считает он.

На сегодняшний день Microsoft выплатила 253 тыс. долл. премий за баги, в том числе в начале февраля 100 тыс. долл. исследователю, который сообщил новые варианты существующих методов атак, сказала Муссурис, добавив, что это помогает компании укрепить оборону.

Программа Mitigation Bypass Bounty предусматривает выплату до 100 тыс. долл. за «действительно новые методы взлома» защит, встроенных в Windows 8.1. Если исследователь предложит также свои методы защиты от обнаруженных эксплойтов, то может получить еще до 50 тыс. долл.

По программе IE 11 Preview Bug Bounty исследователи могут получить до 11 тыс. долл. за критичные уязвимости в новом браузере на Windows 8.1.

Несмотря на введение премий за баги программа Security Development Lifecycle остается лучшим способом защиты  организациями своего ПО, подчеркнула Муссурис. «Нельзя прокладывать путь к безопасности ПО только тестированием его на взлом», - сказала она.

© 2014. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.

Источник: Кевин Маклохлин, CRN/США