Microsoft artık, kodun Microsoft tarafından mı yoksa üçüncü bir tarafça mı yazıldığına bakılmaksızın, çevrimiçi hizmetlerinden herhangi birinde kritik güvenlik açıkları bulan güvenlik araştırmacılarına ödeme yapıyor.
Bu politika değişikliği Çarşamba günü Black Hat Avrupa’da Microsoft Güvenlik Yanıt Merkezi mühendislikten sorumlu başkan yardımcısı Tom Gallagher tarafından duyuruldu.
Gallagher’ın açıkladığı gibi, saldırganlar güvenlik açıklarından yararlanırken Microsoft kodu ile üçüncü taraf bileşenleri arasında ayrım yapmıyor, bu da şirketin hata ödül programını varsayılan olarak tüm Microsoft çevrimiçi hizmetlerini kapsayacak şekilde genişletmesine ve tüm yeni hizmetlerin piyasaya sürüldüğü anda kapsama dahil olmasına neden oluyor.
Program artık Microsoft çevrimiçi hizmetlerini etkiliyorsa, ticari veya açık kaynak bileşenler de dahil olmak üzere üçüncü taraf bağımlılıklarındaki güvenlik kusurlarını da içeriyor.
Gallagher, “Bugünden itibaren, kritik bir güvenlik açığının çevrimiçi hizmetlerimiz üzerinde doğrudan ve kanıtlanabilir bir etkisi varsa, ödül ödülü almaya hak kazanır. Kodun Microsoft’a, üçüncü tarafa ait olup olmadığına veya açık kaynak olup olmadığına bakılmaksızın, sorunu düzeltmek için ne gerekiyorsa yapacağız” dedi.
“Amacımız, en yüksek risk taşıyan alanlarda, özellikle de tehdit aktörlerinin istismar etme olasılığı en yüksek olan alanlardaki araştırmaları teşvik etmektir. Ödül programlarının bulunmadığı durumlarda, güvenlik araştırma topluluğunun farklı içgörülerini, uzmanlıkları onları nereye götürürse götürsün tanıyacağız ve ödüllendireceğiz.”
Microsoft, son 12 ayda 344 güvenlik araştırmacısına 17 milyon doların üzerinde ödül ödülü ödedi ve önceki yıl da 343 güvenlik araştırmacısına 16,6 milyon dolar daha ödedi.
Bugünkü duyuru, Microsoft’un şirketin tüm operasyonlarında güvenliğe öncelik vermek üzere tasarlanan daha geniş Güvenli Gelecek Girişiminin bir parçası.
Aynı girişimin bir parçası olarak Microsoft, Microsoft 365 ve Office 2024 uygulamalarının Windows sürümlerindeki tüm ActiveX denetimlerini de devre dışı bıraktı ve eski kimlik doğrulama protokolleri aracılığıyla SharePoint, OneDrive ve Office dosyalarına erişimi engellemek için Microsoft 365 güvenlik varsayılanlarını güncelledi.
Yakın zamanda, toplantılar sırasında ekran yakalama girişimlerini engellemek için yeni bir Teams özelliği sunmaya başladı ve Entra ID oturum açma işlemlerini komut dosyası ekleme saldırılarına karşı koruma planlarını duyurdu.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, “iyi” IAM’nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.