Evoluindo nossa abordagem à pesquisa de segurança coordenada: No Escopo por Padrão

Hoje, na Black Hat Europe, reforcei nosso compromisso com a segurança dos clientes por meio de parcerias com a comunidade de pesquisa em segurança.

Em um mundo em que nuvem e IA são onipresentes, agentes mal-intencionados não se limitam a produtos ou serviços específicos. Eles não se importam sobre quem é o proprietário do código que tentam explorar. A mesma lógica deve se aplicar à comunidade de segurança, que continua a colaborar conosco fornecendo insights críticos que ajudam a proteger nossos clientes.

Vulnerabilidades de segurança surgem frequentemente nos pontos de conexão entre componentes ou em dependências envolvidas. Valorizamos pesquisas que adotem essa perspectiva mais ampla, abrangendo não apenas a infraestrutura da Microsoft, mas também dependências de terceiros, incluindo software comercial e componentes de código aberto.

A partir de hoje, se uma vulnerabilidade crítica tiver impacto direto e comprovado em nossos serviços online, ela será elegível para recompensa. Independentemente de o código ser de propriedade e gestão da Microsoft, de terceiros ou aberto, faremos o que for necessário para remediar o problema. Nosso objetivo é incentivar pesquisas nas áreas de maior risco — especialmente aquelas que agentes mal-intencionados têm maior probabilidade de explorar. Quando não existir um programa de recompensas aplicável, reconheceremos e premiaremos a diversidade de insights da comunidade de pesquisa de segurança, independentemente de onde seu conhecimento os levar. Isso inclui domínios e infraestrutura corporativa que são de propriedade e gestão da Microsoft.

Chamamos essa abordagem de No Escopo por Padrão (In Scope by Default). Ela oferece clareza aos pesquisadores e garante que incentivemos pesquisas responsáveis em qualquer área onde nossos clientes possam ser impactados. Historicamente, nosso programa de recompensas tinha escopos definidos para cada produto ou serviço elegível. Nossa nova abordagem expande o programa para incluir todos os serviços online por padrão. Isso também significa que novos serviços passam a estar no escopo assim que forem lançados.

No ano passado, por meio de nosso programa de bug bounty e do evento de live-hacking, Zero Day Quest, concedemos mais de US$ 17 milhões em recompensas por pesquisas de segurança de alto impacto. As mudanças que estamos anunciando hoje ampliarão a elegibilidade de premiação, especialmente para estas áreas-chave:

• Domínios e serviços em nuvem de propriedade da Microsoft: pesquisadores de segurança não têm nossa visão interna e estão em uma posição única para pensar como um atacante. Ao trabalhar conosco e seguir nossas regras de engajamento, podemos implementar proteções e mitigações que elevam continuamente o nível de segurança, adicionando uma camada extra de proteção para nossos clientes.
• Código de terceiros, incluindo open source: se os serviços online da Microsoft forem impactados por vulnerabilidades em código de terceiros — inclusive de código aberto — queremos saber. Caso não exista um programa de recompensas aplicável para reconhecer esse trabalho essencial, nós o ofereceremos. Isso fecha lacunas na pesquisa de segurança e eleva o padrão de proteção para todos que dependem desse código.

À medida que a Microsoft e a comunidade de segurança trabalham juntas, seguimos as regras de engajamento para pesquisa responsável em segurança, a fim de garantir a proteção de dados e privacidade dos clientes. Esperamos que os pesquisadores compreendam essas diretrizes antes de iniciar qualquer trabalho. Em seguida, eles podem enviar suas descobertas para avaliação e divulgação coordenada.

Manter nossos clientes seguros é nossa maior prioridade. Nossas parcerias com a comunidade de segurança são uma parte essencial de nossa estratégia mais ampla para garantir que segurança venha em primeiro lugar em tudo o que fazemos. Você pode ler mais sobre o trabalho que estamos realizando em toda a empresa em nosso relatório mais recente da Secure Future Initiative.

Tom Gallagher, VP de Engenharia, Microsoft Security Response Center