Microsoft bugün Chicago, Illinois’deki yıllık Ignite konferansında hata ödül programlarını, bulut ve yapay zeka ürünleri ve platformlarına odaklanan yeni bir hackleme etkinliği olan Zero Day Quest ile genişlettiğini duyurdu.
Etkinlik bugün, belirli senaryolar için güvenlik açıklarının sunulmasının birden fazla ödül kazanabileceği ve Redmond, Washington’da 2025’te yerinde düzenlenecek hackleme etkinliğine katılmaya hak kazanabileceği bir araştırma mücadelesiyle başlıyor.
Yapay zeka güvenliğini daha da geliştirmek için Microsoft, bugünden itibaren güvenlik araştırmacıları tarafından bildirilen yapay zeka açıkları için çifte ödül sunacağını ve aynı zamanda onlara Microsoft yapay zeka mühendislerine ve şirketin yapay zeka kırmızı ekibine doğrudan erişim sağlayacağını açıkladı.
Microsoft Güvenlik Yanıt Merkezi (MSRC) Mühendislikten Sorumlu Başkan Yardımcısı Tom Gallagher, “Bu yeni hackleme etkinliği, özellikle bulut ve yapay zeka gibi yüksek etkili alanlara yönelik araştırmalar için ek 4 milyon dolarlık potansiyel ödülle birlikte türünün en büyüğü olacak” dedi. ).
“Zero Day Quest, güvenlik topluluğunun Microsoft mühendisleri ve güvenlik araştırmacılarıyla el ele çalışması için yeni fırsatlar sunacak; biz herkesi güvende tutmak için çalışırken, güvenlik alanındaki en iyi beyinleri bir araya getirerek paylaşımda bulunacak, öğrenecek ve topluluk oluşturacak.”
Bu, Microsoft’un, ABD İç İşleri Bakanlığı Siber Güvenlik İnceleme Kurulu tarafından yayınlanan sert bir raporun önüne geçmek için ürünleri genelinde siber güvenlik korumasını tam zamanında artırmak amacıyla Kasım 2023’te başlatılan bir siber güvenlik mühendisliği çalışması olan Güvenli Gelecek Girişimi’nin (SFI) bir parçasıdır. Güvenlik, şirketin “güvenlik kültürünün yetersiz olduğunu ve elden geçirilmesi gerektiğini” söyledi.
BleepingComputer’ın bildirdiği gibi, Microsoft, Mayıs ayında, saldırganların şirketin bulut tabanlı Exchange e-posta platformunu ihlal ettikten sonra ABD Dışişleri Bakanlığı hesaplarından 60.000’den fazla e-postayı çalmasıyla kendisini Çinli bilgisayar korsanlarının saldırılarının hedefinde buldu.
Diğer birçok Microsoft ürününü ve platformunu etkileyen güvenlik kusurları da yaygın saldırılarda kullanıldı. Örneğin, son yıllarda birçok tehdit aktörü (fidye yazılımı çeteleri dahil), çevrimiçi olarak açığa çıkan on binlerce Exchange sunucusunu hedeflemek için ProxyShell, ProxyNotShell ve ProxyLogon güvenlik açıklarını kötüye kullandı.
Gallagher, “Güvenli Gelecek Girişimimizin (SFI) bir parçası olarak, müşteri eylemi gerektirmeseler bile, Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) programı aracılığıyla kritik güvenlik açıklarını şeffaf bir şekilde paylaşacağız.” diye ekledi.
“Sıfır Gün Görevinden edinilen bilgiler, varsayılan olarak, tasarım itibarıyla ve operasyonlarda bulut ve yapay zeka güvenliğinin iyileştirilmesine yardımcı olmak için Microsoft genelinde paylaşılacak.”
Bugün Microsoft ayrıca, Windows 11 cihazlarda önizleme olarak sunulan ve ekstra Windows Hello kimlik doğrulama istemleri kullanarak kritik sistem kaynaklarına erişimi engellemek üzere tasarlanan yeni yönetici koruması güvenlik özelliği hakkında daha fazla bilgi paylaştı.