年终回顾——嗯,算是吧 :)
作者: Cap’n Steve (Steve Adegbite)
职位: 高级安全项目经理主管
喜好: 逆向工程大量代码以及在滑雪板上尽情驰骋
厌恶: 不多,但如果你听到我低吼…快跑
又到了一年中的这个时候,我们所有人收拾行装前往沙漠,重新联系、讨论并规划未来,或者至少是我们认为的安全未来。由于安全形势不断变化,很难预测下一年会带来什么。这可能就是为什么我们安全行业的大多数“老手”将 Black Hat/Defcon 会议视为安全状况的年度回顾和预览。这些会议多年来为许多人定义了许多安全策略。不过,我跑题了J;我开始谈论安全形势的年终回顾。
回顾过去的一年,我很高兴看到我们在改变安全形势的几项策略上执行得很好。我指的是去年这个时候推出的以下三个项目:
- 漏洞利用指数 (Exploitability Index)
- 微软主动保护计划 (Microsoft Active Protections Program, MAPP)
- 微软漏洞研究 (Microsoft Vulnerability Research, MSVR)
我将讨论前两个项目,因为我一直在参与这两个项目的工作。MSVR 由我的同事 Adrian 负责,他将在不久的将来撰写关于 MSVR 的博客。他会向大家更新他们在那边所做的所有令人兴奋的事情。
那么,让我们开始吧。首先,我想谈谈漏洞利用指数。正如我所说,一周年纪念即将到来,我们从这个新项目中收到了很多客户的积极反馈。回顾过去,我很高兴看到,在我们提供的 140 个评级中,我们只修改了一个评级。我们修改的那个评级从高严重性降到了较低严重性(从 1 级降到 3 级)。
让我解释一下我们的原因。我们在评级时非常谨慎,如果有疑问,我们倾向于选择较高的评级。我们希望确保使用我们评级的人能够免受利用。这就像即使你住在警察局旁边,也要在门上安装死锁——我宁愿安全也不要后悔。然而,我们一直在寻找改进我们评级的方法,并且我们倾向于寻找可以或需要改进的关键领域。
在我们看来,没有比安全生态系统更好的地方来获得良好的反馈了。因此,当 iDefense 承担起审查我们漏洞利用指数评级的前 120 天的任务时,我们非常高兴。我相信你们在想,“120 天真的足够吗?”嗯,这肯定提供了一个不错的快照,展示了项目的进展情况。我认为这也是捕捉早期流程缺陷和其他问题的好时间框架。因此,让我重点介绍 iDefense 审查期间发现的一些事情。
总体评估: iDefense 得出结论,微软漏洞利用指数是朝着正确方向迈出的一步。他们认为该指数为客户提供了更多的风险缓解信息,具有明确的价值。iDefense 还认为,它帮助系统管理员优先安排系统更新工作,因为有了该指数,他们可以使用另一条信息来帮助制定更新计划。
在 iDefense 审查的 57 个漏洞中,他们认为只有 14 个应该被评级不同。这意味着他们的分析与我们的分析有约 75% 的相似性。
与所有早期努力一样,他们确实发现了一些需要改进的领域。其中一个领域是上述的评级差异。我们将审查差异的原因,并审视我们当前的流程,以考虑他们的建议。查看完整报告这里。
现在,让我们谈谈微软主动保护计划,或者我们在 27 号大楼的走廊里称之为“MAPP”。MAPP 计划的目标是找到一种缩短消费者受攻击窗口的方法。我们希望能够每月提供足够的“及时”技术信息,关于我们正在更新的漏洞,以帮助防御者更快地提供软件保护。在我们看来,让经过验证的防御者与恶意攻击者处于同一境地,试图理解和逆向工程我们的更新以为我们共同的客户构建防御,是没有意义的。
我很高兴地说,我们已经超出了我们的目标。截至目前,该项目已有来自全球的 47 家公司,新增合作伙伴来自中南美洲、欧洲、中东、非洲、印度、东南亚、中国、韩国、日本、澳大利亚和新西兰。这个合作伙伴网络的全球覆盖范围代表了软件保护,覆盖了从数万到数亿的消费者。这不容小觑!J 这还不止;我们将继续增加更多合作伙伴,以确保我们为防御者提供保护您(我们共同的客户)所需的信息。我们有一些更多关于我们如何缩小攻击窗口的证据,但不要只听我说,查看 MAPP 成员自己的 testimonials 在 MSRC 的年终进展报告这里。
好了,就这些。别忘了查看 iDefense 论文这里和 MAPP 论文这里。并关注 www.microsoft.com/twc/blogs 获取更多来自前线的 Black Hat 博客。
下次见…
Steve