Azure Sphere 安全研究挑战赛现已开启
Azure Sphere 安全研究挑战赛是 Azure 安全实验室的扩展,该实验室于 2019 年 8 月在 Black Hat 大会上宣布。当时,微软邀请了一组精选的研究人员,在客户安全的云环境中模拟恶意黑客行为。
这项新的研究挑战旨在激发 Azure Sphere 的高影响力安全研究。Azure Sphere 是一个全面的物联网安全解决方案,提供从硬件、操作系统到云的端到端安全。尽管 Azure Sphere 默认实现了安全性,但微软认识到安全并非一劳永逸。随着设备和服务数量的不断增长,风险需要持续缓解。邀请安全研究社区在恶意攻击者之前研究高影响力漏洞,是 Azure Sphere 采取的整体方法的一部分,以最小化风险。
Azure Sphere 安全研究挑战赛
这项新的研究挑战是一个为期三个月、仅限申请的安全研究项目,提供特殊的奖金奖励,并为项目参与者提供额外的研究资源。
要申请此研究项目,请在 2020 年 5 月 15 日前提交申请表。申请将每周审核一次,被接受的研究人员将通过电子邮件通知。此研究挑战赛的时间为 2020 年 6 月 1 日至 8 月 31 日,适用于通过公开申请被接受的研究人员。
场景和奖金奖励
在项目期间,Azure Sphere 安全研究挑战赛将为特定场景提供高达 10 万美元的奖金。要了解更多关于 Azure Sphere 架构、术语以及开始研究场景所需的一切,请访问 Azure Sphere 文档。
以下是两个关键场景,更多研究场景、奖励和项目资源可以在 Azure 安全实验室项目页面找到。
| 场景 | 奖金 |
|---|---|
| 在 Pluton 上执行代码的能力 | $100,000 |
| 在安全世界执行代码的能力 | $100,000 |
这项研究挑战专注于 Azure Sphere 操作系统。在研究计划范围之外发现的漏洞,包括云部分,可能有资格获得公共 Azure 奖金计划的奖励。物理攻击不在本研究挑战和公共 Azure 奖金计划的范围内。
Azure Sphere 安全研究挑战赛提供以下资源以支持研究:
- Azure Sphere 开发套件(DevKit)
- 用于研究目的的 Microsoft 产品和服务访问权限
- Azure Sphere 产品文档
- 与 Microsoft 团队的直接沟通渠道
微软为何与安全研究人员和行业合作伙伴合作
随着新兴技术和安全威胁的出现,安全形势不断变化。为客户保持 Azure 的高度安全是首要任务。通过扩展 Azure 安全实验室,我们提供更多内容和资源,以更好地武装安全研究人员,研究云中的高影响力漏洞。
微软努力保护我们的云和软件,安全研究人员的帮助增强了我们持续提高安全性的能力。通过协调漏洞披露(CVD)向微软发现和报告漏洞,安全研究人员帮助我们继续保护数百万客户。
此外,我们与全球安全社区的合作是保护客户安全的关键。我们感谢与关键行业合作伙伴在这一研究计划中的合作,并坚信扩展 Azure 安全实验室将有助于继续保护我们的云和 Azure Sphere。
Azure Sphere 安全研究挑战赛的合作将微软与 Avira、百度国际科技、Bitdefender、Bugcrowd、思科系统公司(Talos)、ESET、FireEye、F-Secure Corporation、HackerOne、K7 Computing、McAfee、Palo Alto Networks 和 Zscaler 等公司聚集在一起,这些公司都带来了物联网安全研究的专业知识。这种合作补充了微软内部保护生态系统的工作,因为数字化转型将越来越多的客户带到云端,连接的物联网设备必须得到保护。
Sylvie Liu,微软安全响应中心安全项目经理