Podczas konferencji Black Hat USA w Las Vegas poinformowano o planach uruchomienia platformy testowej Azure Security Lab. Będzie to odizolowane od produkcyjnej części platformy Azure środowisko, w którym – wedle słów przedstawicieli Microsoftu – specjaliści ds. bezpieczeństwa będą mogli „efektywnie i agresywnie” testować zabezpieczenia Azure. Udostępnienie takiej możliwości ma jasno pokazać, jak poważnie Microsoft podchodzi do kwestii odpowiedniego zabezpieczenia swojej platformy chmurowej. Dla uczestników programu przewidziano nagrody finansowe sięgające nawet 300 tys. USD.
Zainteresowani eksperci i partnerzy firmy z Redmond mogą już zgłaszać swój akces do programu testowego (można to zrobić na stronie Microsoftu – https://aka.ms/AzureSecLab). Po przystąpieniu do projektu jego uczestnicy będą mogli dowolnie testować swoje pomysły na pokonanie zabezpieczeń chmurowej platformy i konsultować swoje odkrycia z członkami zespołu ds. bezpieczeństwa działającego w ramach Microsoftu. „Przyjdźcie i róbcie najgorsze rzeczy, jakie przyjdą wam do głowy” – zachęcają przedstawiciele firmy. „Odizolowanie Azure Security Lab sprawiło, że możemy zaproponować specjalistom ds. bezpieczeństwa coś zupełnie nowego – możliwość nie tylko wyszukiwania potencjalnych słabości, ale również natychmiastowego ich sprawdzania w praktyce” – dodają.
Oprócz zaoferowania niezależnym ekspertom możliwości samodzielnego testowania różnych aspektów zabezpieczeń platformy Azure, Microsoft planuje również przygotowywanie najróżniejszych wyzwań i zadań dla uczestników projektu. Do udziału w nich mają zachęcać m.in. nagrody – ich maksymalna wysokość sięgać może nawet 300 tys. USD.
Jednocześnie, przedstawiciele koncernu Microsoft zapowiedzieli rozszerzenie istniejącego już od kilku lat programu, w ramach którego firma wypłaca nagrody tym specjalistom, którzy znajdą, udokumentują i zgłoszą jej luki w zabezpieczeniach platformy Azure. Najważniejszym novum wydaje się zwiększenie maksymalnej wysokości nagrody za pojedyncze zgłoszenie – od teraz za wykrycie i opisanie wyjątkowo niebezpiecznych czy potencjalnie kłopotliwych problemów można dostać nawet 40 tys. USD. Jest to stawka dwukrotnie wyższa niż oferowana wcześniej. Przy okazji poinformowano, że zainteresowanie tym programem sukcesywnie rośnie – w ciągu ostatniego roku wypłacono łącznie 4,4 mln USD nagród. W ciągu poprzednich 12 miesięcy kwota ta wyniosła 2 mln USD. Istotnie wzrosła również wysokość nagród wypłacanych za wykrywanie błędów uczestnikom programów Microsoft Mitigation Bypass Bounty oraz Bounty for Defense – od teraz za zgłoszenie wyjątkowo niebezpiecznych luk można dostać nawet 100,000 USD.
Warto odnotować, że Microsoft nie jest jedyną firmą, która zdecydowała się na zwiększenie wysokości nagród za znajdowanie błędów w jej produktach – to samo zrobił ostatnio również Google (jeden z pionierów idei wypłacania nagród za błędy), który zwiększył maksymalną nagrodę za znalezienie luki w przeglądarce Google Chrome z 15 do 30 tys. USD.
