安全更新的内部机制:微软如何应对零日漏洞与协调披露

本文深入解析微软安全更新的完整生命周期,从漏洞发现、变体分析到更新发布,涵盖零日漏洞的定义、协调披露的重要性以及客户最佳实践,帮助读者全面了解企业级安全响应机制。

安全更新的剖析

微软安全响应中心(MSRC)是防御者社区的一部分,处于为客户和公司提供安全响应的前线。我们的使命是保护客户和微软免受当前和新兴的安全与隐私威胁。我们监控威胁并提供更新的工具和指南,帮助组织防御、识别和修复攻击。

我们经常被问到:为什么微软不能更快地发布安全更新?为什么在零日漏洞被识别后不能立即发布安全更新?为什么你们依赖协调漏洞披露?这些都是很好的问题。

安全更新的生命周期

“开发安全更新是质量和及时性之间的微妙平衡。我们必须考虑最小化客户中断和最大化客户保护。” ~Aanchal Gupta,微软安全响应中心企业副总裁

每个漏洞都是不同的,每个漏洞都带来自己独特的挑战需要解决。从问题发现到发布安全更新来解决它,有许多因素影响这段时间的长度。我们必须考虑更新发布时对客户的现实影响。这意味着要考虑我们产品和服务的各种客户环境,以及漏洞可能存在的支持平台数量。

当我们开发更新时,我们遵循一个广泛的过程。

一旦发现漏洞,我们立即开始我们的取证调查。这是我们查看研究人员可能报告或披露的内容,并将其与我们内部对代码库的理解相匹配的地方。

完成这一步后,我们的下一步是变体分析。这意味着我们搜索并调查漏洞的任何变体。研究人员、攻击者和防御者检查漏洞周围的代码和功能是很常见的。虽然有不同的议程,但一个共同的目标是理解是否有额外的功能(从风险的角度看)可以促成漏洞。变体审查带来更高的信心,确保漏洞和类似情况得到完全解决。我们的安全更新通常包含变体修复。

同时,微软检查我们广泛产品组合中的服务影响。随着发布临近,微软通过我们的微软主动保护计划(MAPP)向可信安全合作伙伴提供检测指南。同时,我们通过SUVP计划向紧密的外部合作伙伴提供更新进行现实世界测试。一旦我们的工程团队开发出更新,它必须经过 rigorous 测试,以更好地确保修复不会引起一些意外的副作用。修复必须满足必要的质量标准才能发布。只有在更新通过这些质量检查后,才能作为我们计划的“更新星期二”过程的一部分发布,或用于带外发布(在我们正常的更新发布过程之外)。同时,我们还准备CVE文档,为客户提供关于漏洞的指导,回答常见问题,提供任何现有的缓解措施和变通办法,以及更新和附带发布说明的链接。这些信息发布在安全更新指南中。

上述步骤需要时间,但对于有效的响应至关重要。

什么是“零日”漏洞?

首先,零日漏洞是软件中的一个缺陷,尚未发布官方补丁或安全更新。软件供应商可能知道也可能不知道这个漏洞。零日漏洞通常具有高严重性级别,并且可能被主动利用。

所有零日漏洞都会导致攻击吗?

不。零日攻击通常利用高严重性的零日漏洞,但这并不意味着漏洞的披露会导致攻击。利用的复杂性、可用的安装基础以及利用的可靠性都影响着攻击者可能使用哪些零日漏洞来实现他们的目标。

协调漏洞披露

首先,为了减轻零日漏洞和攻击的风险,我们相信协调漏洞披露(CVD)。这是一个经过验证的行业最佳实践,用于解决安全漏洞。协调漏洞披露的目的是为客户提供及时和一致的指导,帮助他们保护自己。微软安全响应中心与安全研究人员和供应商合作,管理协调漏洞披露提交。漏洞协作是关于限制攻击者的机会领域,以便在问题公开之前,客户和他们的数据更好地受到保护,免受网络攻击。当漏洞,如0日漏洞,被不负责任地披露时,它会使客户面临被入侵的风险,而没有机会在他们的环境中检测和修复漏洞。我们的协调漏洞披露方法要求研究人员将新发现的微软硬件、软件和服务中的漏洞直接披露给我们。研究人员允许我们有机会在任何一方向公众披露详细的漏洞信息之前,诊断并提供完全测试的更新、变通办法或其他纠正措施。在更新发布时,微软认可研究人员的发现和私下报告问题。如果漏洞在我们其中一个赏金计划的范围内,研究人员可能会根据计划描述获得赏金奖励,并在我们修复漏洞时公开承认他们的贡献。

如果攻击在野外进行,而微软仍在开发更新,那么研究人员和微软尽可能紧密合作,提供早期的公共漏洞披露以保护客户。目的是为客户提供及时和一致的指导,帮助他们保护自己。

客户的最佳实践

我们建议客户确保他们的系统尽可能更新和当前。

“您的技术基础设施和安全系统就像一个‘免疫系统’。即使没有针对披露的零日的更新,保持系统当前有助于保持整个系统强大。” ~Aanchal Gupta,微软安全响应中心企业副总裁

攻击者利用目标受害者环境中的任何弱点。零日漏洞只占被利用弱点的一小部分。最近解决的漏洞,有时甚至是更老的漏洞,经常被用来攻击客户。有时攻击者需要将漏洞链式组合以实现成功的入侵。链式攻击可以包括零日漏洞和已解决的漏洞。如果恶意行为者识别了一个目标受害者,而该受害者落后于他们的更新,威胁行为者可能能够利用该漏洞。而拥有更新系统的受害者将在攻击者能够执行恶意技术之前缓解该漏洞。

我们在“更新星期二”(每月的第二个星期二太平洋标准时间上午10:00)安排安全更新的发布。我们建议IT专业人员相应地计划他们的部署日程,用户安装最新的更新。这种计划的节奏帮助IT管理员计划并有效地将更新部署到他们的环境中。作为发布的一部分,微软在微软安全更新指南中发布支持文档。这包括分配的严重性、行业标准CVSS分数和可利用性指数,以帮助客户基于风险做出及时部署安全更新的决策。当可用时,列出客户在测试和部署更新时可以使用的缓解步骤或变通办法。

对于Microsoft 365 Defender,客户可以在Defender门户中导航到安全建议页面下的威胁和漏洞管理功能。此功能向客户显示他们环境中的易受攻击设备,并呈现也在微软安全更新指南中暴露的内容。通常当零日攻击发生时,客户还可以查看威胁分析文章,以提供关于已知攻击及其在他们环境中影响的额外上下文。

有时,威胁行为者需要识别一个目标受害者,并说服该受害者打开恶意文件或点击恶意链接暴露他们的凭据,然后才能利用漏洞。在线时遵循安全实践将有助于限制零日影响您的机会。对某些人来说可能很明显,但请记住,只从主要商店下载应用程序、游戏和软件,并坚持那些受到好评的,以减少被诱骗下载恶意软件的风险。只接受您信任的人的内容。如果您收到一个您未预期的附件或链接,或者内容与发送者通常的行为不符,不要冒险,在与内容互动之前与发送者确认。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次