Microsoft hat angekündigt, dass sein Bug-Bounty-Programm ausgeweitet werden soll.

bluestork – shutterstock.com

Cyberangriffe beschränken sich heutzutage nicht auf bestimmte Unternehmen, Produkte oder Dienstleistungen – sie finden dort statt, wo die Schwachstellen sind. Zudem werden die Attacken mit Hilfe von KI-Tools immer ausgefeilter. Vor diesem Hintergrund hat Microsoft seinen neuen Security-Ansatz „In Scope by Default“ auf der Black Hat Europe angekündigt.

Demnach kommt künftig jede „kritische Schwachstelle“ mit „nachweisbaren Auswirkungen“ auf die Online-Dienste von Microsoft für eine Prämie in Frage. Dies gilt sowohl für Code, den Microsoft verwaltet, als auch für alles, was von Dritten oder über Open Source bereitgestellt wird.

„Den Angreifern ist es egal, wem der Code gehört, den sie auszunutzen versuchen”, schreibt Tom Gallagher, Vice President of Engineering beim Microsoft Security Response Center, in einem Blogbeitrag. „Der gleiche Ansatz sollte auch für die Sicherheits-Community gelten, die mit uns zusammenarbeitet, um wichtige Erkenntnisse zum Schutz unserer Kunden zu liefern.”

Ziel ist es, „Anreize für die Forschung zu schaffen“

Gallagher betont, dass Microsoft „alles tun wird, was nötig ist“, um aufgetretene Probleme zu beheben. Er weist darauf hin, dass das Unternehmen bereits im Jahr 2024 im Rahmen seines Bug-Bounty-Programms und seiner Live-Hacking-Events mehr als 17 Millionen Dollar ausgeschüttet hat. Die veränderte Strategie werden die Berechtigung zur Förderung noch erweitern.

„Unser Ziel ist es, Anreize für die Forschung in den Bereichen mit dem höchsten Risiko zu schaffen, insbesondere in Bereichen, die von Angreifern am ehesten ausgenutzt werden“, erklärt der Microsoft-Experte.

Die Förderung im Rahmen des Bug-Bounty-Programms umfasst nun:

• Microsoft-eigene Domains und Cloud-Dienste: Sicherheitsforscher ohne Insider-Kenntnisse bei Microsoft werden ermutigt, sich gemäß vereinbarten Regeln auf die Infrastrukturen des Unternehmens zu konzentrieren.
• Code von Drittanbietern, einschließlich Open Source: In Fällen, in denen es in diesem Bereich noch kein Bug-Bounty-Programm gibt, wird Microsoft nun eines anbieten. Die Identifizierung von Schwachstellen in Code von Drittanbietern kann dazu beitragen, die Messlatte für „alle, die sich auf diesen Code verlassen“, höher zu legen, so Gallagher.

Forscher können ihre Ergebnisse zur Bewertung und zur koordinierten Offenlegung auf einer Online-Plattform von Microsoft einreichen. Auf diese Weise werden Schwachstellen vertraulich gemeldet, um diese Probleme zu diagnostizieren und zu beheben, bevor sie öffentlich bekannt gegeben werden.

Microsoft und seine Partner befolgen die Regeln für verantwortungsbewusste Sicherheitsforschung, so Gallagher, die eine Vielzahl von Red-Teaming-Aktivitäten fördern. Dazu zählen

• Schwachstellenbewertungen auf virtuellen Azure-Maschinen (VMs),
• das Testen der Spitzenkapazität,
• Versuche, aus Systemgrenzen und gemeinsam genutzten Servicecontainern auszubrechen,
• das Testen von Sicherheitsüberwachungs- und Erkennungssystemen, sowie
• die Bewertung des bedingten Zugriffs.

Die Regeln verbieten es Red-Teams jedoch, Zugangsdaten zu verwenden oder darauf zuzugreifen, Phishing-Angriffe gegen Microsoft-Mitarbeiter zu starten oder Denial-of-Service-Tests durchzuführen, die übermäßigen Datenverkehr verursachen. Zudem ist es nicht gestattet, mit Speicherkonten zu interagieren, die nicht im Abonnement des Benutzers enthalten sind.

Vor- und Nachteile dieses Ansatzes

Die Ausweitung des Anwendungsbereichs ist nicht unbedingt neu, stellt Avakian von Info-Tech fest, „obwohl Cloud-Dienstleister (CSPs), Finanzinstitute und SaaS-Unternehmen engere Formulierungen veröffentlichen und viele Fälle durch Verhandlungen hinter den Kulissen regeln.“ Dem Experten zufolge hängt jedoch vieles nach wie vor stark vom guten Willen der Forscher und internen Ermessensentscheidungen ab.

„Der erweiterte Umfang von Microsoft ist etwas anders und könnte zu weniger Diskussionen führen, die Zeit kosten und zu Reibungen mit Forschern führen können“, so Avakian. „Außerdem sendet es ein besseres Signal: Wenn die Leute keine Disqualifizierung befürchten, sind sie eher bereit, Ergebnisse aus frühen Phasen einzureichen. Das ist großartig für Verteidiger und kann das Vertrauen in die Forschungsgemeinschaft stärken.“

Der Analyst räumt jedoch ein, dass es schwierig werden könnte, was die Menge[MB1] der Bug Reports betrifft. Resultat seien möglicherweise mehr Berichten von geringer Qualität und spekulative oder „nebulöse“ Ergebnisse, mahnt der Info-Tech-Spezialist.

„Das Modell kann nur funktionieren, wenn die Schwere der Probleme konsequent bewertet wird“, so Avakian. Ansonsten könnten Angreifer indirekt davon profitieren, dass die Verteidigerteams überlastet sind, und potenzielle Störsignale echte Warnungen Signale übertönen.“

Letztendlich „ist der Umfang wirklich eine Frage der Unternehmensführung“, ergänzt Avakian und weist darauf hin, dass Unternehmen ins Hintertreffen geraten, wenn Schwachstellenprogramme immer noch in erster Linie darauf ausgerichtet sind, Auszahlungen zu reduzieren, Risiken zu minimieren und das Image der Marke zu schützen.

„Microsoft signalisiert, dass operative Klarheit defensiver Unklarheit überlegen ist“, so Avakian. Allerdings funktioniert „standardmäßig im Geltungsbereich“ nur mit der entsprechenden organisatorischen Reife.

„Wenn Sie nicht bereits über eine starke Governance, Triage-Prozesse, konsistente Schweregradmodelle und technische Verantwortlichkeit verfügen, wird es problematisch“, führt der Experte aus. „Automatisierung, Anreicherung und erfahrenes menschliches Urteilsvermögen sind hier wichtiger denn je, und Microsoft scheint eindeutig in dieses langfristige Spiel zu investieren.“ (jm)

---

ABONNIERE UNSEREN NEWSLETTER

Von unseren Redakteuren direkt in Ihren Posteingang

Beginnen Sie, indem Sie unten Ihre E-Mail-Adresse eingeben.