威胁复杂性推动跨行业安全协作新高度

微软安全响应中心探讨Active Template Library漏洞的行业影响,分享MSVR项目如何协调多方供应商实施负责任披露,通过深度防御工程解决方案应对复杂安全威胁。

威胁复杂性推动跨行业安全协作新高度

当影响多个供应商的复杂安全问题出现时,用“具有挑战性”来形容都显得轻描淡写。我们创建微软漏洞研究计划(MSVR)正是为了应对这些挑战,从中吸取经验,并在此过程中加强整个行业防御者社区的联系。随着软件安全状况的成熟,超越了缓冲区溢出和权限提升等直接问题,我们正努力实现前所未有的跨行业协作新水平。我们必须这样做,才能为我们的共同客户在我们的平台上提供最佳体验。

最近的Active Template Library(ATL)问题要求我们找到一种新的、更具协作性的方式来应对不断发展的威胁,因为有关漏洞细节的更多信息被公开。MSVR与MSRC一起成为响应和协调的核心,以寻找解决方案。当MSRC专注于其常规工作,即在微软内部推动变革时,MSVR则全力协调并协助尽可能多的受影响的第三方供应商,以帮助解决行业范围的问题。

我们相对年轻的MSVR计划现在庆祝其一周年,必须直面几个首次出现的问题和疑问:

  • 如何在微软之外分享问题的同时,维护和尊重负责任披露的总体原则?
  • 如何在多个受影响方之间开放和直接沟通,同时不因缓解措施可用之前的潜在广泛披露而使客户面临风险?
  • 如何将我们非常了解的问题传达给可能没有相同技术历史或安全响应方法和实践的第三方?
  • 我们能否跨行业协调,使每个人都朝着解决问题的同一目标前进,尽管开发实践和工程要求时间表不同?

向微软报告此问题的才华横溢的安全研究人员以负责任的方式这样做,目的是改善生态系统并帮助我们保护客户。同时,我们清楚地认识到这是一个行业范围的问题,保护生态系统的最佳方式是在雷德蒙德进行工程努力的同时通知受影响的供应商。微软是负责任披露的支持者,旨在允许受影响的供应商在公开讨论问题细节之前理解和尝试解决各自的问题。在这种情况下,MSVR的行动展示了最近被称为“部分披露”的各种负责任披露,当我们提醒我们认为控件使用了我们易受攻击的ATL头文件的第三方供应商时。在MSVR运营的过去一年中,我们扮演了发现者和协调者的负责任披露角色。ATL问题要求我们同时扮演这两个角色,以及受影响供应商的角色。

虽然我们知道必须向广泛群体披露技术细节,但随着我们看到安全社区中关于此问题的讨论和发现越来越多,时间也在紧迫。最初向我们报告此问题的安全研究人员与我们勤奋和耐心地合作,继续以他们对问题的理解负责任地行动,而我们开始开发过程和技术工具来分析我们的控件并寻找解决方案。同时,我们开始识别和分析最常部署但由其他供应商开发的控件的过程。正是在这一点上,我们觉得我们有可行的方式单独接触尽可能多的这些受影响供应商,讨论问题的影响,因为它关系到他们可能易受攻击的控件。

由于其潜在范围,与库相关的漏洞通常会在行业中引起不确定性和关注,因此我们集中精力了解影响的真实深度和广度。我们的分析表明,影响我们用户的大多数控件可以通过生态系统中的几个关键供应商来解决。考虑到这一点,MSVR联系了在生态系统中拥有最广泛足迹且我们认为受此问题影响的供应商。我们还相信,微软正在研究的深度防御工程解决方案将有助于提供防范攻击的保护,并允许其他供应商有更多时间修改和重新编译他们自己的控件。

总体而言,我们的目标和目的直截了当,即使不完全轻松,并要求我们利用MSRC多年来学到的许多关键经验。在我们将行动和目标提炼到最基本水平后,很明显我们必须快速在多个方面行动,包括:

  • 提出我们自己的深度防御解决方案,以帮助保护客户并缓解威胁。
  • 采取措施快速识别我们认为对我们平台影响最广的受影响第三方供应商。
  • 找到符合这些标准的供应商的正确安全联系人。
  • 安全地打包和传播漏洞信息给他们。

我们这样做的目标是:

  • 提醒尽可能多的拥有受影响控件的供应商社区,ATL存在问题。
  • 为第三方供应商提供必要的技术细节,以执行对其所有控件的广泛分析,寻找其产品中的漏洞。
  • 在分析中支持第三方供应商,回答他们的问题,并在必要时澄清问题。
  • 与主要受影响的第三方协调更新发布,以及为我们共同客户提供指导。

我们在这个过程中学到了很多。毕竟,进化要求我们思考和行动方式的改变,这导致成长。我们将把这些经验纳入MSVR的未来流程中。我们与MSVR在过去其他问题上合作的组织建立了更牢固的关系,并且我们跨越公司边界与安全团队建立了许多新的联系。总体而言,我们对行业的积极反应非常满意,我们向所有在此历史性合作中合作的第三方供应商的安全组织中的同行致敬,包括但不限于Adobe和Sun。我们也非常感激和赞赏Ryan Smith和David Dewey,最初负责任地向我们报告此问题的安全研究人员,因为这是一个多维挑战,在我们确定如何最好地解决问题时,需要他们极大的耐心和理解。

随着我们向前迈进,面对安全地平线上的下一个挑战,我们可以预期防御者社区之间更深入的整合,无论他们是为微软还是第三方供应商工作,无论他们是安全研究人员还是CERT成员——我们可以期待更多的协作。毕竟,像我们自己的SDL所取得的进展一样,保护我们平台的进步自然会导致攻击更加复杂,更依赖于应用程序如何相互交互以及与底层操作系统交互,因此将要求我们所有人都超越公司标志,专注于那个威胁地平线。

我是Adrian Stone,负责ATL协调,并自7月1日起成为MSVR计划的新驱动者,我是Katie Moussouris,MSVR计划的创始人,我们与安全社区一起,期待推进基于社区的防御,并帮助迎来这个协作安全的新时代,为我们所有客户的利益。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次