微软MAPP计划详解

  • Article

最近,我们看到有很多关于 MAPP (微软主动防御计划)的讨论。我们知道许多客户和合作伙伴对 MAPP 的工作原理以及它如何帮助保护客户有一些疑问,借此机会向大家解释一下微软是如何努力打造主动防御的。

 我们希望确保MAPP 是一个透明、有效的计划。因此,我们会定期评估 MAPP 合作伙伴,以确保他们遵守MAPP指导原则,并采取措施纠正任何合作伙伴偏离我们计划章程的行为。我们还在不断寻求方法来增强我们的技术和法律措施,以帮助保护我们的客户。

 

为什么设立 MAPP 计划?

微软在 2008 年宣布了 MAPP 计划,以应对在我们的每月安全补丁发布前后发生的不断增加的逆向工程现象。我们意识到,如果有更新二进制文件,安全研究人员和攻击者就可以利用很多工具来快速找出漏洞的根本原因(root cause)。我们注意到,诸如防病毒或IDS/IPS厂商之类的防御者正在与攻击者展开对微软补丁进行逆向工程的竞赛,以便创建保护特征码(签名)。

在 MAPP 计划推出之前,防御者们一直处于劣势地位,因为检测漏洞攻击非常困难,当安全厂商没有全面掌握可能引发成功漏洞攻击的条件类型时尤其如此。厂商可以为他们收到的每一个攻击文件分别编写一个特征码(签名),但是他们需要单独响应每个文件,或者需要花费大量时间来亲自对微软的安全补丁进行逆向工程。 通过直接向防御者们提供有关漏洞的技术详细信息,我们可提高他们在较短时间内创建更有效、更准确特征码 ( 签名 ) 的能力。

MAPP 还有助于为需要或希望在部署我们的更新之前亲自进行测试的客户提供第一道防线。微软在发布安全补丁之前会对这些更新进行充分的测试,但是,我们无法针对各公司内部开发的所有业务线应用程序进行测试。

鉴于有些客户更喜欢执行内部测试,而这样做可能会延迟安全补丁的安装,因此我们寻求我们的客户已经部署且有助于防御软件漏洞攻击的合作伙伴。我们在反恶意软件和入侵防护行业找到了这些合作伙伴。

 

MAPP 计划的工作原理是什么?

微软负责运行 MAPP 计划,凡是符合我们有关(1)保护客户的能力,和(2)覆盖用户数量的最低要求的安全厂商均可免费享有该计划权益。有关我们的准入条件的详细信息,请查看这里。在接纳新合作伙伴之前,我们会仔细审查和检验这些条件。

每个月,我们的安全工程师团队都会致力于为我们的合作伙伴创建信息,帮助他们检测针对微软产品中漏洞的攻击。此数据包括但并非总限于:

  • 有关漏洞的详细技术总结报告
  • 分步流程,他们可以按照该流程来分析受影响的文件格式或网络协议,该流程可识别哪些元素需要具有特定值或超过特定界限才能触发安全漏洞
  • 如何检测漏洞或攻击(如事件日志条目或堆栈跟踪)
  • 本身没有恶意但包含会触发漏洞的特定条件的PoC(概念证明)文件。合作伙伴可以利用此文件来测试他们使用我们提供的分步流程开发的检测特征码(签名)。

我们会在安全补丁发布之前不久向参与的厂商提供此信息。我们将基于合作伙伴发布有效防护的能力来确定时间范围,从而限制一旦信息无意中被公开所带来的风险。

在提供信息之后,我们的工程师仍与安全厂商保持沟通,讨论可用来检测漏洞攻击的步骤和技术细节。

我们的团队还会进一步与合作伙伴进行沟通,以更好地了解攻击者正在利用哪些漏洞进行攻击,以及我们需要在哪些方面改进指南以应对特定攻击方法。我们会在发布后对指南进行定期更新,以帮助提高合作伙伴保护客户的能力。

 

MAPP 计划如何帮助保护客户

MAPP 计划帮助厂商对 微软在安全公告中确认或解决的漏洞构建全面检测。不允许 MAPP 合作伙伴在安全补丁发布之前发布其防护。

例如,对于 Office 攻击,我们的检测指南将介绍如何分析Office文件并验证文件的哪个部分和哪些元素需要存在缺陷才会触发漏洞。 如果没有 MAPP 数据,许多情况下,厂商可能需要“猜测”哪些值可能会触发崩溃,哪些不会,这样会大大降低其特征码 ( 签名 ) 的有效性

使用 MAPP 数据开发的检测技术通常比不使用该信息生成的检测更加准确、更加全面。每个月在公告发布后,微软都会单独跟进每个厂商,以跟踪合作伙伴特征码(签名)库的MAPP指南使用情况。如果我们确定某些指南对我们的合作伙伴群而言很难实施,我们会与合作伙伴合作以了解我们可以如何改进该计划,从而使他们能够更加有效地检测这些威胁。

MS10-087 CVE-2010-3333 中介绍的漏洞就是一个很好的例子。此特定问题影响了 微软Office中的RTF格式分析程序。虽然我们已经针对此特定组件发布了一些公告,但许多厂商并不具有分析该文件类型的有效方法。因此我们与MAPP 厂商合作开发了一款可快速识别恶意文件的工具,并将该工具分发给我们的合作伙伴,尽管之前在安全补丁中已解决了该问题。

 

风险和局限性

我们认识到存在滥用漏洞信息的可能性。为了尽可能限制此情况的发生,我们会与合作伙伴签订严格的保密协议 (NDA)。微软对待违反 NDA 的行为非常严格。 如果合作伙伴不能成功保护我们的知识产权,我们会采取行动,其中可能包括将合作伙伴从我们的计划中剔除。

此外,我们确保只在安全补丁发布前很短时间内发布数据。在MAPP推出之前,厂商在安全补丁发布之后的数小时甚至数天内才发布检测方法。如今,我们在合作伙伴需要完成该工作时尽可能提前将MAPP数据发送给他们。因此,现在安全厂商的防护通常在微软发布更新后即可获取。

但是 MAPP也有其局限性。例如,MAPP不会防御未知的0day(零日)漏洞的攻击。为了保证MAPP的有效性,微软必须在能够向 MAPP合作伙伴分发指南之前了解该漏洞。

此外,MAPP只能在一定程度上帮助提高产品防御漏洞攻击的能力。在检测Office漏洞攻击方面,入侵防护厂商可能并非总是拥有得天独厚的优势,因为这些漏洞攻击可能在网络上以许多不同的方式进行了编码。同样,基于主机的反恶意软件产品通常并不能很好地防御基于网络的攻击,例如最近出现的RDP漏洞。

我们建议客户与他们的安全防护厂商密切合作,以充分了解每一款产品的功能和局限性。

 

MAPP 的价值

我们认为,帮助增强基于社区(Community)的防御是保护客户的关键所在。MAPP 在致力于最大限度降低风险的同时,为防御者们提供一个关键性的先发优势。

微软致力于通过为多个安全行业中的防护厂商提供有价值的防护信息来帮助客户。MAPP计划是此战略的重要组成部分。虽然风险不可能完全消除,但是我们相信该计划为客户带来的好处远远大于风险。

此致!

Maarten Van Horenbeeck
资深项目经理
微软安全响应中心 (MSRC)