ΑρχικήsecurityMicrosoft: Ανακοίνωσε πρόγραμμα bug bounty για το Defender

Microsoft: Ανακοίνωσε πρόγραμμα bug bounty για το Defender

Η Microsoft παρουσίασε ένα νέο πρόγραμμα bug bounty για την πλατφόρμα ασφαλείας Microsoft Defender. Οι ανταμοιβές των συμμετεχόντων θα κυμαίνονται μεταξύ 500 και 20.000 $.

Microsoft bug bounty

Θα μπορούσε να υπάρχει και μεγαλύτερη ανταμοιβή, αλλά η Microsoft θα καθορίσει το τελικό ποσό με βάση τη σοβαρότητα και τον αντίκτυπο της ευπάθειας και την ποιότητα υποβολής. Η υψηλότερη ανταμοιβή είναι διαθέσιμη για αναφορές υψηλής ποιότητας σχετικά με ευπάθειες που επιτρέπουν εκτέλεση κώδικα απομακρυσμένα και είναι πολύ σοβαρές (κρίσιμες).

Επί του παρόντος, το Πρόγραμμα Microsoft Defender bug bounty είναι περιορισμένο σε εύρος και θα επικεντρωθεί αποκλειστικά σε Microsoft Defender for Endpoint APIs (Application Programming Interfaces). Ωστόσο, αναμένεται να επεκταθεί αργότερα για να συμπεριλάβει και άλλα προϊόντα Defender.

Δείτε επίσης: HackerOne: Έχει δώσει πάνω από $300 εκατομμύρια σε προγράμματα bug bounty

Το πρόγραμμα Microsoft Defender Bounty προσκαλεί ερευνητές από όλο τον κόσμο να εντοπίσουν ευπάθειες στα προϊόντα και τις υπηρεσίες του Defender και να τις μοιραστούν με την ομάδα μας“, δήλωσε η Ανώτερη Διευθύντρια Προγράμματος του MSRC, Madeline Eckert.

Τα προγράμματα Bug Bounty της Microsoft αντιπροσωπεύουν έναν από τους πολλούς τρόπους με τους οποίους επενδύουμε σε συνεργασίες με την παγκόσμια ερευνητική κοινότητα ασφάλειας για να βοηθήσουμε στην ασφάλεια των πελατών της Microsoft“.

Η πλήρης λίστα των ευπαθειών που πρέπει να βρουν οι ερευνητές:

  • Cross-site scripting (XSS)
  • Cross-site request forgery (CSRF)
  • Server-side request forgery (SSRF)
  • Cross-tenant data tampering ή access
  • Insecure direct object references
  • Insecure deserialization
  • Injection vulnerabilities
  • Server-side code execution
  • Σημαντικό security misconfiguration (όταν δεν προκαλείται από το χρήστη)
  • Χρήση components με γνωστές ευπάθειες (απαιτεί full proof of concept (PoC) για εκμετάλλευση. Για παράδειγμα, η απλή αναγνώριση μιας out-of-date βιβλιοθήκης δεν πληροί τις προϋποθέσεις για βραβείο).

Σε περίπτωση που πολλοί ερευνητές αναφέρουν το ίδιο σφάλμα, η ανταμοιβή θα πηγαίνει σε αυτόν που έκανε την υποβολή πρώτος.

Δείτε επίσης: Η Google επεκτείνει το πρόγραμμα bug bounty για generative AI επιθέσεις

Επιπλέον, εάν μια υποβολή πληροί τα κριτήρια για πολλαπλά προγράμματα επιβράβευσης, οι ερευνητές θα λάβουν την υψηλότερη επιβράβευση από ένα μεμονωμένο πρόγραμμα bounty. Περισσότερες λεπτομέρειες σχετικά με το Πρόγραμμα Bug Bounty της Microsoft μπορείτε να βρείτε εδώ.

Η Microsoft αποκάλυψε ότι πλήρωσε 58,9 εκατομμύρια δολάρια ως ανταμοιβές σε 1.147 ερευνητές ασφαλείας παγκοσμίως που ανέφεραν 446 ευπάθειες σε 22 προγράμματα bug bounty.

Microsoft Defender

Ένα μήνα νωρίτερα, η εταιρεία ανακοίνωσε ένα νέο πρόγραμμα AI bounty, επικεντρωμένο στην εμπειρία Bing που βασίζεται στην τεχνητή νοημοσύνη.

Τα προγράμματα bug bounty συμβάλλουν στην κυβερνοασφάλεια παρέχοντας μια επιπλέον γραμμή άμυνας κατά των κυβερνοεπιθέσεων. Οι επαγγελματίες ασφάλειας και η κοινότητα των ερευνητών μπορούν να εκμεταλλευτούν τις αδυναμίες των συστημάτων και να αναφέρουν τις ευπάθειες στις εταιρείες. Αυτό επιτρέπει στους φορείς να εντοπίσουν και να διορθώσουν τις ευπάθειες πριν αξιοποιηθούν από επιτιθέμενους.

Τα προγράμματα bug bounty διαδραματίζουν επίσης έναν ρόλο στην ευαισθητοποίηση για την κυβερνοασφάλεια. Μέσω αυτών των προγραμμάτων, οι ερευνητές ασφαλείας μπορούν να μοιραστούν τις γνώσεις τους και να εκπαιδεύουν τους φορείς σχετικά με τις ευπάθειες και τις βέλτιστες πρακτικές ασφάλειας. Αυτό οδηγεί σε μια αυξημένη ευαισθητοποίηση και καλύτερη προστασία των συστημάτων από επιθέσεις.

Δείτε επίσης: Microsoft: Νέο πρόγραμμα bug bounty για το AI-powered Bing

Επιπλέον, τα προγράμματα bug bounty προσφέρουν ένα κίνητρο για τους ερευνητές ασφαλείας να ανακαλύψουν και να αναφέρουν ευπάθειες. Μέσω των αμοιβών που προσφέρονται στους ερευνητές για τις ευρήματα τους, τα προγράμματα bug bounty παρέχουν έναν οικονομικό κίνητρο για την αναζήτηση ευπαθειών και την αναφορά τους.

Τέλος, τα προγράμματα bug bounty προωθούν τη συνεργασία και την ανταλλαγή γνώσεων μεταξύ των ερευνητών ασφαλείας και των φορέων. Οι ερευνητές μπορούν να ανταλλάξουν ιδέες, τεχνικές και εμπειρίες με άλλους ερευνητές και να συμβάλουν στην ανάπτυξη και τη βελτίωση των μεθόδων ασφάλειας. Αυτό οδηγεί σε μια συνεχή εξέλιξη και βελτίωση της κυβερνοασφάλειας.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS