黑帽 2010
BH 背景 下周,我们许多人将前往拉斯维加斯参加黑帽大会。MSRC 和微软的其他团队多年来一直参加黑帽大会。事实上,我们过去八年一直赞助该活动——过去五年作为白金赞助商。有人可能会问为什么?有趣的是,我实际上还记得在我担任美国空军军官保护网络时,质疑微软为什么在该活动中如此活跃。尽管我很想说是因为天气(毕竟,我们大多数人都在多雨的西北地区),或者因为它是最大的安全会议(它不是),甚至更好,因为我们如此期待获得下一个 Pwnie 奖——但事实是以上都不是。好吧,也许有一点是因为 Pwnie。但现实是,对我们来说,黑帽大会始终是社区的反映和驱动——来自各行各业和职业的志同道合的人,共同致力于推动安全状态的进步。他们聚集在一起分享想法、推动思考、建立网络和协作,并最终相互学习。我们感到与这一点相连,并一直期待成为其中的一部分。
随着活动临近,我花了一些时间反思微软安全响应中心目前的状况以及我们在安全方面的未来方向。具体来说,我一直在思考三个领域:1)我们修复软件漏洞的工作,2)我们与安全社区的合作,以及 3)我们对漏洞披露的理念。鉴于这些话题最近在社区和媒体中引起了兴趣并推动了讨论,我想分享我的想法。
漏洞和修复时间
有些人会说我们修复漏洞的时间太长。但这不仅仅是关于修复时间:我们在安全更新方面的首要任务是尽量减少对客户的干扰,并帮助他们防范在线犯罪攻击者。这些客户拥有并运营着全球近十亿个系统的多样化生态系统。想到这一责任令人谦卑,但我们接受这一挑战。即使面对这种情况,我们的整体记录显示漏洞窗口正在缩小,并且我们有额外的改进计划。
微软安全响应中心(MSRC)每年在 secure@microsoft.com 收到超过 10 万封电子邮件——每天近 275 封,每小时 11 封。这被过滤为每年大约 1,000 次合法调查。一旦确认漏洞,就会进行全面的检查,以确保报告的漏洞得到解决,识别并解决相关代码中可能存在的其他漏洞,并且在此过程中不会引入新的漏洞或错误。
但为什么我们不承诺固定的时间表?因为在关注安全问题的软件更新时,考虑整体客户风险非常重要。MSRC 发布的大多数安全更新将在很短时间内迅速部署到全球数亿个系统,帮助保护客户免受攻击。而被更新的软件正在所有类型的硬件和所有场景中被数十万个应用程序使用。因此,更新必须经过严格的工程和测试,以避免对这些系统造成任何类型的干扰。在此期间,MSRC 监控漏洞或其变体是否被用于主动攻击的迹象。MSRC 通过使用全面的遥测系统以及全球客户、合作伙伴和行业其他方面提供的数据和信息来实现这一点。这种方法帮助微软平衡发布特定漏洞更新的潜在紧迫性与确保更新能够解决漏洞及其所有变体,并保持客户对受影响产品的功能和稳定性的期望。
很多时候,发现者报告的问题表明该代码区域存在其他类似漏洞。而原始问题可能不是最复杂的,甚至不是最可能被用于攻击的。微软试图尽可能用最少的更新来解决漏洞及其所有变体,因为企业客户需要时间、精力和金钱来重新评估和部署多个更新,而这些更新可能可以通过单个更新解决。完成全面检查所需的时间有助于确保微软发布和需要重新发布的安全更新数量保持在最低水平,从而减少企业客户运营的成本和潜在干扰。由于微软在过去五年中实现的质量提升,一些企业客户几乎不进行测试就部署安全更新,而数亿消费者继续使用其系统上的自动更新客户端以确保自动保持保护。
对于大多数问题,我们能够在任何攻击迹象之前以及公开披露之前向客户发布高质量和全面的安全更新。然而,也有例外。在某些情况下会发生攻击,当这种情况发生时,我们必须压缩测试以快速发布更新。此外,当发生攻击时,我们会在几天内发布变通方案,即使没有更新也可以阻止这些攻击。通常这些变通方案采取“FixIt”的形式,可以通过一次点击保护客户或轻松在整个企业中部署。
然而,有些情况需要更长的时间。事实上,去年在黑帽大会上有一个安全事件涉及一个名为“ATL”或“Active Template Library”的库中的漏洞。该问题不仅影响多个微软产品版本,还影响几个第三方产品和服务。协调该发布花了超过一年时间,最终,甚至发现者自己也理解并评论说,考虑到所涉及的复杂性,花费超过一年时间并非不合理。当看似简单的安全问题(如内存损坏错误)影响多个不同产品时,协调和校准可能导致更长的时间表,以便没有产品或这些产品的客户被落下。还有一些情况是如此深层的架构更改,可能需要多年才能完全解决,或者可能无法在我们的一些旧产品中解决。通常这些问题源于产品设计或假设无法预料的新威胁的出现。改变这些已经上市多年的产品的假设确实需要时间和协调,以便客户和应用程序能够有效地与它们配合。
专注于解决安全问题一直是并将始终是我们的优先事项。改进我们流程的工作将继续,但我们必须始终在及时性和质量之间取得平衡。
与安全社区合作
微软与安全社区合作的程度对我个人和我的团队都很重要。多年前,这是一个非常有效的担忧。我记得在微软外部观看研究人员的讨论,指出微软如何不参与或不回应。自可信计算启动以来,我们在这方面做出了巨大改变。在微软,我们认识到并赞赏安全研究人员在识别问题和帮助整个计算生态系统从安全角度改进方面的独特价值。我们还感谢社区中许多人在过去几年的协作工作,并且近十年来,我们展示了以诚实和透明的方式与他们合作的承诺。我们可能并不总是就严重性以及开发和测试必须与数亿台计算机配合的更新所需的时间达成一致,但我们相信在与研究人员合作时我们是公平和开放的。以任何其他方式行事都不符合我们或我们客户的利益。
多年来,我们看到研究人员表示,如果供应商真正重视他们的工作,我们会直接补偿他们发现的漏洞。这是最近几周持续的趋势。我们绝对重视研究人员生态系统,并通过多种方式展示这一点。最著名的是,当研究人员协调漏洞细节的发布与安全更新的发布时,我们在公告中承认研究人员的工作。而这只是冰山一角。我们还通过每年在超过 20 个国家赞助和支持近 50 个安全会议来确保支持社区的发展。
可能启动我们与研究人员建立的更深层次关系的社区努力是我们每年在雷德蒙德举办的自己的小型“黑客”会议,称为“BlueHat 安全简报”。该会议于 2004 年启动,旨在将微软安全专业人士和外部安全研究人员聚集在一个轻松的环境中,促进想法分享、社交网络,并最终提高微软产品的安全性。BlueHat 成功及其对客户益处的关键是研究人员与他们研究的技术特定所有者之间的直接问答访问。在许多情况下,我们的一些直接竞争对手坐在微软的舞台上,直接向开发和管理它们的人员谈论我们产品中的问题。他们也能够从同样的人员那里获得关于他们研究的反馈。
转向协调漏洞披露
如果有一个领域在推动更广泛安全社区中的两极分化辩论方面具有持久力——正如过去一个月主流和社交媒体所表现的那样——那就是如何披露漏洞细节。理想情况下,这些漏洞的更新在所有客户广泛获得细节之前可用。这使我们能够保护最终用户,因为他们只是自动获得更新,而大型企业可以分析、优先排序并快速将更新部署到数十万个系统。当沟通中断和分歧发生时,导致研究人员在我们发布更新之前披露漏洞细节,这些细节随后被犯罪分子用来攻击我们的客户。最糟糕的情况是漏洞根本没有向供应商披露,因为这样几乎没有任何希望为所有客户发布广泛的保护措施。
由于这种情况的范围,我们也看到了一系列理念。当然,微软一直支持的最佳披露问题的方式是协调方式,即漏洞细节与广泛可供客户使用的更新一起发布。这被称为“负责任披露”。该术语本身可能是主观的,因为如果任何一方不遵守这些条款,则暗示他们自己是“不负责任的”。关于这一责任问题的辩论是可以理解的;然而,重要的是要记住,最终我们处理的是客户安全问题——我们都应该认真对待这一点。不幸的是,这些辩论可能使我们失去对真正重要的事情的关注——保护使用互联网的人免受伤害。
今天,可信计算安全总经理 Matt Thomlinson 介绍了微软采用的一种新的披露理念,称为协调漏洞披露 http://blogs.technet.com/b/msrc/archive/2010/07/22/announcing-coordinated-vulnerability-disclosure.aspx。MSRC 生态系统策略团队的高级安全策略师 Katie Moussouris 在 MSRC 生态系统策略团队博客 http://blogs.technet.com/b/ecostrat/archive/2010/07/22/coordinated-vulnerability-disclosure-bringing-balance-to-the-force.aspx 上提供了关于这一披露理念和实践转变必要性的更多信息和见解。从她的帖子中你会看到,我们并不是唯一承认是时候改变的人。其他供应商和来自更广泛防御者社区的研究人员表示支持,并将有助于使这一转变成为现实。所以阅读帖子,提供你的反馈,然后加入我们,使这一转变成为行业范围的转变。
现在回到这篇帖子的催化剂——黑帽大会。我们距离活动本身只有几天时间,一旦开始,我们可能会看到更多主题发展。但我希望我在这里分享的想法能提供一些关于我们对社区最近讨论的观点的见解。
当今威胁环境的现实指向一个已经从各种动机的参与者转变为两方的世界——那些意图伤害或犯罪的人和那些意图防止伤害和打击犯罪的人。作为一个行业和社区,抛开哲学差异或竞争,我们应该团结一致。我们作为个人和集体社区的福祉正受到看不见的犯罪分子的威胁,这些犯罪分子没有表现出退缩的迹象。我们希望这一转向协调和协作的共享责任的努力能够超越黑帽大会,随着我们作为一个全球防御者社区的进步和演变。
希望能在黑帽大会上见到你!
Mike Reavey MSRC 总监