Black Hat 2008: Microsoft Active Protections Program (MAPP)

Come per l'annuncio del Microsoft Exploitability Index nel post precedente, anche per quest'annuncio può essere utile darvi un po' di indicazioni storiche e di contesto. Forse, infatti, non tutti sanno che fino ad ora l'approccio di Microsoft nel comunicare esternamente i dettagli sulle vulnerabilità è stato quanto di più "equo" si potesse immaginare: in linea con la sua policy di Responsible Disclosure, semplicemente nessun esterno a Microsoft veniva a sapere di dettagli sulle vulnerabilità fino al rilascio del bollettino di sicurezza che le corregge.

C'è, è vero, un numero molto limitato di clienti che aiuta Microsoft nel processo di testing e nella verifica di qualità delle patch: a loro viene fornita la patch in anticipo di alcuni giorni per la verifica di eventuali problemi di compatibilità applicativa, in modo da permettere a Microsoft di ampliare notevolmente il suo "data center virtuale" per effettuare il test in un numero elevato di combinazioni applicative. Ma a loro non viene fornito alcun dettaglio sulle vulnerabilità, sulle aree di codice interessate dai bug, su come sfruttarli per un eventuale attacco.

Quindi tutti, ma davvero tutti (clienti grandi e piccoli, singoli utenti, enti governativi e militari, fosse anche il presidente della repubblica, insomma, TUTTI), partono dalla stessa linea di partenza (come faranno gli atleti alle imminenti gare olimpiche di Pechino/Bejing 2008) nella gara verso la conoscenza dei dettagli sulle vulnerabilità, e questa linea è rappresentata dal giorno del rilascio pubblico (Microsoft Patch Tuesday).

Peccato che nel corso di questi anni, il tempo medio osservato tra il rilascio di una security patch e la comparsa di un possibile exploit si è via via ridotto in modo preoccupante, fino ad arrivare anche a poche ore. Questo trend ha un impatto significativo, non solo sui clienti che devono accelerare al massimo i propri processi di Security Update Management (senza farsi ingessare da barocche procedure di approvazione multi-livello...), ma anche su tutto l'ecosistema di produttori terzi di software di sicurezza che sono costretti a correre anche loro per realizzare le contromisure di protezione rispetto ai possibili attacchi che queste vulnerabilità espongono.

Ecco, il Microsoft Active Protections Program (MAPP) nasce proprio per supportare questo ecosistema: i vendor di software di sicurezza che faranno parte del programma MAPP avranno accesso in anticipo alle informazioni sulle vulnerabilità in procinto di essere pubblicate tramite il consueto rilascio dei bollettini, e potranno provvedere più velocemente al rilascio delle loro soluzioni di protezione.

Il programma partirà di fatto nel prossimo ottobre, con la possibilità da ora di chiedere l'iscrizione se si posseggono alcuni requisiti, che trovate nel documento di MAPP Fact Sheet.

Altri post/risorse correlate:

• MSRC: Responsible Disclosure Policy
• MSRC: Monitoring and Managing Vulnerabilities
• MSRC: Security Update Release Cycle

Share this post :

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS