Η Microsoft ανακοίνωσε ότι επεκτείνει τα προγράμματά της bug bounty, με το Zero Day Quest, ένα νέο hacking event που επικεντρώνεται στην εύρεση ευπαθειών σε προϊόντα και πλατφόρμες cloud και AI.
Το Microsoft Zero Day Quest προσκαλεί ερευνητές ασφαλείας να ανακαλύψουν και να αναφέρουν ευπάθειες σε: AI, Microsoft Azure, Microsoft Identity, M365 και Microsoft Dynamics 365 και Power Platform. Αυτό το νέο πρόγραμμα επιτρέπει σε ανεξάρτητους ερευνητές ασφάλειας να συνεργαστούν με μηχανικούς της Microsoft και άλλους ερευνητές για να μοιραστούν γνώσεις, να μάθουν νέα πράγματα και να δημιουργήσουν μια ασφαλή κοινότητα για όλους.
Δείτε επίσης: Browser Company: Πρόγραμμα Bug Bounty για τον Arc Browser
Αυτό το challenge έχει δύο ξεχωριστές ευκαιρίες:
- Ένα Research Challenge (ανοιχτό σε όλους)
- Ένα Onsite Hacking Event (μόνο με πρόσκληση)
Το Onsite Hacking Event είναι μια εκδήλωση μόνο με πρόσκληση που επεκτείνεται αυτόματα στους 10 κορυφαίους ερευνητές της Microsoft. Επιπλέον 45 ερευνητές θα προσκληθούν με βάση τις υποβολές τους στο Research Challenge, το οποίο είναι ανοιχτό σε όλους.
Το Zero Day Quest ξεκίνησε χθες και οι υποβολές ευπαθειών για συγκεκριμένα σενάρια μπορούν να οδηγήσουν σε βραβεία.
Το Research Challenge είναι ανοιχτό σε όλους και θα διαρκέσει από τις 19 Νοεμβρίου 2024 έως τις 19 Ιανουαρίου 2025.
Για να προωθήσει περαιτέρω την ασφάλεια της τεχνητής νοημοσύνης, η Microsoft λέει ότι θα προσφέρει διπλά βραβεία για ευπάθειες που σχετίζονται με AI προϊόντα. Επίσης, οι ερευνητές που βρίσκουν αυτές τις ευπάθειες, θα μπορούν να έχουν άμεση πρόσβαση στους μηχανικούς της Microsoft AI και στην AI Red Team της εταιρείας.
Δείτε επίσης: Netflix: Πλήρωσε πάνω από 1 εκατομμύριο $ μέσω του bug bounty
“Αυτό το νέο hacking event θα είναι το μεγαλύτερο του είδους του, με επιπλέον 4 εκατομμύρια δολάρια σε πιθανά βραβεία, για έρευνα σε τομείς υψηλής επίδρασης, ειδικά στο cloud και στην τεχνητή νοημοσύνη“, δήλωσε ο Tom Gallagher, Αντιπρόεδρος Μηχανικής στο Microsoft Security Response Center (MSRC).
Αυτό αποτελεί μέρος της πρωτοβουλίας Secure Future Initiative (SFI) της Microsoft, που ξεκίνησε τον Νοέμβριο του 2023 για να ενισχύσει την κυβερνοασφάλεια στα προϊόντα της, αφού το Υπουργείο Εσωτερικής Ασφάλειας των Η.Π.Α. είχε πει ότι “η κουλτούρα ασφαλείας της εταιρείας ήταν ανεπαρκής και απαιτούσε αναθεώρηση”.
“Τα διδάγματα από το Zero Day Quest θα κοινοποιηθούν σε όλη τη Microsoft για να συμβάλουν στη βελτίωση της ασφάλειας του cloud και της τεχνητής νοημοσύνης“.
Προγράμματα Bug Bounty
Πρωτοβουλίες σαν το Zero Day Quest της Microsoft εντάσσονται στην κατηγορία των προγραμμάτων Bug Bounty, τα οποία προσφέρουν στις εταιρείες τη δυνατότητα να εντοπίσουν και να διορθώσουν τα κενά ασφαλείας των συστημάτων τους, πριν αυτά χρησιμοποιηθούν από κακόβουλους χρήστες. Η άμεση αναφορά οδηγεί σε διόρθωση των σφαλμάτων και ενισχύει την προστασία της εταιρείας από πιθανές επιθέσεις κυβερνοασφάλειας.
Επιπλέον, τέτοια προγράμματα επιτρέπουν στις εταιρείες να επωφεληθούν από την εμπειρία και τις γνώσεις ενός ευρύτερου δικτύου ειδικών στην κυβερνοασφάλεια. Ερευνητές από όλο τον κόσμο συμμετέχουν και βρίσκουν κενά ασφαλείας.
Δείτε επίσης: Google Bug Bounty: Δόθηκαν $ 10 εκατ. σε ερευνητές το 2023
Πλέον, πολλές εταιρείες δίνουν όλο και περισσότερη σημασία στα Bug Bounty, καθώς αυτά βελτιώνουν και την εικόνα τους στα μάτια των πελατών και των επενδυτών. Δείχνουν ότι η εταιρεία λαμβάνει σοβαρά υπόψη την κυβερνοασφάλεια και κάνει ό,τι είναι δυνατόν για να προστατεύσει τα προϊόντα της.
Τέλος, τα προγράμματα αυτά μπορούν να είναι οικονομικά αποδοτικά, καθώς οι εταιρείες πληρώνουν μόνο για τα πραγματικά ευρήματα και όχι για την ώρα ή την προσπάθεια που δαπανήθηκε για την αναζήτηση των ευπαθειών.
Πηγή: www.bleepingcomputer.com
