Black Hat后续：回答棘手问题

作者：Mike Reavey（微软安全响应中心总监）
发布日期：2008年10月14日

10月到了！对于记得2008年拉斯维加斯Black Hat大会的人来说，这意味着我们宣布的计划已经启动。这些计划包括微软主动保护计划（MAPP）和微软漏洞利用指数（Exploitability Index），它们从今天的10月安全公告发布开始实施。微软漏洞研究（MSVR）也继续正式化我们在社区中作为负责任研究者的持续努力。

宣布之后，Daily Dave安全邮件列表上进行了讨论，人们希望提出比我们在Black Hat 2008宣布三个安全计划时更多的问题。我们回应了，邀请大家向我们发送问题。

我们没有回答关于未来产品开发和与特定研究人员关系的某些问题。但以下是关于在Black Hat宣布的三个具体计划的问题答案，以确保大家完全理解它们。

我们感谢对这些计划的反馈。它们都专注于增加协作和信息共享，以在网络防御者与攻击者作战时倾斜优势。

以下是问题和答案：

关于微软主动保护计划（MAPP）的问题

1. 你能完全定义“攻击性”或“攻击”软件吗？安全评估工具如果不利用漏洞，是否被归类为此类？考虑像nmap或Nessus这样的工具，那会排除Fyodor或Tenable吗？

   当然，在这个领域绝对定义是具有挑战性的。然而，纯粹攻击性软件的例子是任何削弱系统安全完整性以长期或永久状态，以利用它或窃取它（窃取数据、凭据、进一步利用的立足点（rootkits））的软件。像MPack这样的工具是我会归类为纯粹攻击工具的一个例子。话虽如此，Nessus或Nmap（我们这里许多人在做安全咨询时使用过的工具）不会被考虑为纯粹攻击性工具。

2. 如果一家公司生产多种产品，一些是攻击性的，一些是被动性的？eEye或Tenable会是例子，其中每个都有设计为IDS/IPS的防御产品以及评估工具。

   我们仍然会允许这样的公司，只要他们符合标准，加入MAPP。他们仍然必须遵守标准，即使用MAPP数据构建的“保护”必须保持到安全更新公开发布。这确保某人不会获取签名并逆向工程以发现正在更新的问题，然后发布概念验证（PoC）。现在，我认为你的意思是同一家公司可以在安全更新发布前在其评估产品中使用此信息。这是正确的，但这将违反MAPP协议，如果发现，我们将终止他们的会员资格。然而，早期我们意识到评估工具在企业级和消费者安全领域扮演重要角色。我们将继续在这方面工作。目前，我们专注于在客户部署我们的安全更新时提供更好的主动保护。

3. 关于那些明显制造防御产品但还有其他可疑活动的公司？考虑TippingPoint，它有IPS解决方案，但也做ZDI倡议，在那里他们分享（出售）漏洞信息给他们的客户。

   我们将首先评估他们的防御业务，并对其他活动进行风险分析，以确保它不会伤害我们试图保护的同一客户。这不是一个“纯粹”的解决方案，但由于某些安全公司业务实践的性质，它是一个现实世界的解决方案。如果在任何时候发现任何MAPP成员从事伤害我们客户的活动，他们将立即被移除。

4. 如果一个组织被发现不适当地泄露信息，后果是什么？被踢出联盟似乎是给定的，但通过可能过早地将数百万台计算机置于风险中，微软会法律追究该公司吗？

   该公司将立即从MAPP中移除。我不能谈论任何法律行动，但我可以想象我们的法律部门会审查此事。此外，请记住MAPP的一个关键操作目标是提供“及时”信息。因此，任何负面行动在更新本身为客户发布之前只有很短的时间窗口。

5. 微软会评论并给出一个大致数字的公司已被接受加入MAPP以展示兴趣吗？

   MAPP已经收到相当数量的申请，如你所猜。我们仍在处理并让人们正式加入，所以还没有确切的数字。粗略猜测仍然匹配我在舞台上说的约20到40家公司到启动时。

关于微软漏洞研究（MSVR）的问题

6. 这些寻找第三方漏洞的人也在看微软产品吗？

   是的。寻找第三方漏洞的人主要在我们的安全工程团队中，他们确实在我们自己的产品中寻找漏洞，同时进行其他安全研究和响应活动。微软内部的一些漏洞发现者在其他团队有其他职责，例如在各种产品团队中。

7. 这是使用自动化工具（专有或其他）、手动还是混合完成的？

   混合。MSVR的一个总体目标不仅是帮助通过发现第三方软件中存在的漏洞实例来增加安全性，而且还在分享我们学到的如何发现这些漏洞的方法。所以如果我们能识别一个机会，我们也会分享我们作为微软安全开发生命周期（SDL）一部分开发的原则和方法论，这可能包括工具和手动技术。

8. 你遵守什么披露政策，它发布了吗？

   我们的目标是遵循OIS指南，在这里找到：http://oisafety.org/guidelines/Guidelines%20for%20Security%20Vulnerability%20Reporting%20and%20Response%20V2.0.pdf。

9. 一旦漏洞被修复，供应商经常发布公告或在变更日志中提到修复并信用报告它的人/公司。你能引用一个例子吗？如果不能，为什么？

   是的，我们可以。微软的工程师在MSVR成立之前很久就向第三方供应商报告漏洞。MSVR既是我们如何处理在某人正常工作中偶然发现的漏洞（如多年来情况）的正式化，也是研究焦点扩展到第三方软件专门寻找漏洞的扩展。在MSVR之前，微软的发现者要么直接向他们发现的供应商报告问题，要么要求MSRC帮助他们这样做。他们在受影响供应商的公告中个别被信用。尝试在一些ISV的安全公告中搜索Tom Gallagher。

关于微软漏洞利用指数的问题

10. 如果只有少数人能为特定漏洞制作可靠利用（或不能），而他们中没有人为微软工作，微软如何准确确定特定漏洞的利用将是 somewhat可靠或 totally可靠（或完全不可能）？

    这个问题提出了一个好点，即漏洞利用指数的准确性很大程度上基于谁在做这项工作 versus 严格科学方法论。我们意识到我们可能不会总是100%正确。然而，我们已经做了一些事情来尝试确保这个指数足够准确，以帮助实现其目标，即向客户提供更多可操作信息以优先部署。

    首先，它在发布后的前两周到30天内最相关。意思是，利用科学可能会改变，可能会有私人方法在讨论中，但对于做部署决策的客户，它应该提供足够信息以帮助做出比之前更知情的优先级排序。其次，我们确实有来自安全漏洞研究与防御（SVRD）团队的人从初始报告到发布都在处理漏洞，他们将作为正常流程的一部分评估可利用性。

    不仅如此，我们还将遵循在BlueHat会议上讨论的方法论，所以使用社区在分析我们更新时使用的类似方法。最后，我们将在发布指数前利用通过MAPP建立的社区来检查我们的工作。通过三层人和流程，我们期望漏洞利用指数在客户决策中提供有价值的信息。

• Mike Reavey
  发布内容“按原样”提供，无保修，也不授予任何权利。