Microsoft kini membayar peneliti keamanan untuk menemukan kerentanan kritis di setiap layanan online, terlepas dari apakah kode tersebut ditulis oleh Microsoft atau pihak ketiga.
Pergeseran kebijakan ini diumumkan di Black Hat Europe pada hari Rabu oleh Tom Gallagher, wakil presiden teknik di Microsoft Security Response Center.
Sebagai Gallagher menjelaskanpenyerang tidak membedakan antara kode Microsoft dan komponen pihak ketiga saat mengeksploitasi kerentanan, sehingga mendorong perusahaan untuk memperluas program bug bounty untuk mencakup semua layanan online Microsoft secara default, dengan cakupan semua layanan baru segera setelah dirilis.
Program ini sekarang juga mencakup kelemahan keamanan pada dependensi pihak ketiga, termasuk komponen komersial atau sumber terbuka, jika berdampak pada layanan online Microsoft.
“Mulai hari ini, jika kerentanan kritis memiliki dampak langsung dan dapat dibuktikan terhadap layanan online kami, maka kerentanan tersebut memenuhi syarat untuk mendapatkan penghargaan bounty. Terlepas dari apakah kode tersebut dimiliki dan dikelola oleh Microsoft, pihak ketiga, atau open source, kami akan melakukan apa pun untuk mengatasi masalah tersebut,” Gallagher dikatakan.
“Tujuan kami adalah untuk memberi insentif pada penelitian di bidang-bidang dengan risiko paling tinggi, terutama bidang-bidang yang paling mungkin dieksploitasi oleh pelaku ancaman. Jika tidak ada program bounty, kami akan mengakui dan memberikan penghargaan terhadap beragam wawasan komunitas riset keamanan di mana pun keahlian mereka membawa mereka.”
Microsoft telah membayar lebih dari $17 juta dalam bentuk penghargaan bounty kepada 344 peneliti keamanan selama 12 bulan terakhir, dan $16,6 juta lagi kepada 343 peneliti keamanan selama tahun sebelumnya.
Pengumuman hari ini adalah bagian dari Microsoft yang lebih luas Inisiatif Masa Depan yang Amandirancang untuk memprioritaskan keamanan di seluruh operasi perusahaan.
Sebagai bagian dari inisiatif yang sama, Microsoft juga menonaktifkan semua kontrol ActiveX di aplikasi Microsoft 365 dan Office 2024 versi Windows, dan memiliki memperbarui default keamanan Microsoft 365 untuk memblokir akses ke file SharePoint, OneDrive, dan Office melalui protokol autentikasi lama.
Baru-baru ini, mereka mulai meluncurkan fitur Teams baru memblokir upaya tangkapan layar selama pertemuan dan mengumumkan rencana untuk mengamankan login Entra ID dari serangan injeksi skrip.
Hancurkan silo IAM seperti Bitpanda, KnowBe4, dan PathAI
IAM yang rusak bukan hanya masalah TI – dampaknya akan berdampak pada seluruh bisnis Anda.
Panduan praktis ini membahas mengapa praktik IAM tradisional gagal memenuhi tuntutan modern, contoh seperti apa IAM yang “baik”, dan daftar periksa sederhana untuk membangun strategi yang terukur.
