奖金发展计划:针对新缓解规避技术的10万美元“生死悬赏”
私下里了解我或者在 Twitter 上关注我的人都很熟悉我对卡拉 OK 的痴迷。我经常一有时间就强迫大家和我一起去唱,但从不强迫他们唱,尽管最后每个人都会唱,或者至少从不熟悉的跟唱开始唱到他们熟悉的歌。我最喜欢的必点歌曲之一是Bon Jovi 的《Wanted Dead or Alive》(生死悬赏)。在我写这篇博客的时候,这首歌不断萦绕在我脑海中。最后,我希望能有更多的人和我一起唱。大家可以把它加到播放列表中,边读本文边听。
今天,微软宣布了奖金计划的首个发展计划(第一个奖金计划发布于 2013 年 6 月)。我们正在扩大人才库,招募可以参与和提出 Novel 缓解规避技术和防御意见的人才,目的是要把外部发现主动攻击的响应者和取证专家也算进来。这就意味着,更多的人可以和我们“一起唱”,赢取前所未有的巨额奖金。
今天发布的新闻意味着,我们将把接受贡献的受众范围,从能独自发明新缓解规避技术的个人扩大到外部发现攻击的个人或组织,人数可能达到数以千计。现在,无论何种类型的发现者都可以提交新技术,赢取 10 万美金的奖励。
在我们平台范围内的防御、或缓解,就像一面保护操作系统及其中运行的所有应用程序的“盾”。而单独的 Bug 就像“矛”。“盾”越坚固,单独的 Bug,或者说“矛”刺穿它的可能性就越小。了解“解决‘盾’的方法”,或者说新缓解规避技术,远远比了解单独的 Bug 更有价值。因为深入了解攻击技术可以帮助我们防御所有攻击类型,而不是一个单独的 Bug — 因此,我们愿意付出 10 万美元的代价来寻找这些难得的新技术。
基于我们的战略性奖金计划的成功,微软正在将奖金的受益范围发展扩大到我们的客户中间来。我们创建的奖金计划旨在改变当前漏洞市场的动态和经济。目前,我们通过以下几种方式来实现此目标:
- 在其他买家通常不为 Bug 付费的情况下针对 Bug 提供奖金(例如,在预览/试用期间),使微软可以从市场中获得很多关键的 Bug,避免它们在半黑市或黑市被广泛交易,最终被用来攻击客户。
- 通过向研究人员提供 10 万美元的奖金来教授我们新缓解规避技术,我们能够更快地为产品构建更佳的防御,并通过诸如 EMET 此类的工具提供解决方法和缓解。
- 通过发展我们的奖金计划,把能够提交用于主动攻击的技术的响应者和取证专家包括进来,我们将能够致力于为产品构建更佳的防御。我们将尽一切可能使用我们的 MAPP 计划并使我们的防御者社区网参与进来,帮助更快地缓解这些攻击。
在本次微软奖金计划的新发展活动中,组织和个人都可以提交概念证明代码,以及他们在外部发现的处于活跃状态的攻击的技术分析,以赢取我们提供的最高 10 万美元的标准奖金。如果参与者同时提交符合条件的防御意见,则可以额外获得最高 5 万美元的奖金。这两种计划的提交标准很相似,但是来源可能有所不同。
要参与扩大的奖金计划,组织必须在我们这里进行预先注册,然后才可以进行提交。方法是通过发送电子邮件至: doa@Microsoft . com 。 预注册并签署协议之后,我们才会接受你所提供的技术文章和概念证明代码,将其列入奖金考虑范围内。
我们希望尽早了解这些难得的新攻击技术,最好是在他们被使用之前。但是,如果这些技术目前已经用于有针对性的攻击,只要攻击技术是新技术,我们也会为其付费 — 因为无论“生或死”,我们都想要得到这些技术。
本次奖金计划发展旨在进一步破坏漏洞和攻击市场。目前,漏洞和攻击在黑市的交易价格非常高,而该价格所依据的因素包括这些漏洞和攻击的有效性(即在供应商发现并缓解它们之前)的排他性和期限。通过发展我们的奖金计划,微软可以削减在黑市购买的攻击和漏洞保持有效的时间,尤其是对依赖隐秘性攻击、不被发现的有针对性攻击而言。
让我们一起期待这首歌如何唱完,然而,作为其中一个,我非常希望有更多的人拿起麦克风和我们一起唱,或者即便是跟唱也行。
Katie Moussouris
高级安全战略专家兼卡拉 OK MC
微软安全响应中心