Компания заявила, что дополнительный метод раскрытия информации с использованием Common Security Advisory Framework поможет организациям лучше расставлять приоритеты в отношении CVE.
Президент и вице-председатель Microsoft Брэд Смит выступает 12 апреля 2023 года на Всемирном экономическом саммите Semafor в Вашингтоне. Компания расширяет процесс раскрытия информации об уязвимостях, чтобы сделать восстановление более эффективным. Дрю Ангерер через Getty Images
Краткий обзор:
- Microsoft будет раскрывать уязвимости в рамках Common Security Advisory Framework, шага, призванного помочь клиентам реагировать и устранять CVE более эффективно, заявила компания на этой неделе.
- CSAF — это формат, который можно считывать с помощью машины, что помогает организациям быстрее и в больших объемах обрабатывать CVE. Клиенты по-прежнему смогут получать обновления CVE через руководство по обновлению безопасности Microsoft или через API на основе Common Vulnerability Reporting Framework. CVRF служит стандартом для раскрытия информации об уязвимостях.
- Развертывание CSAF представляет собой третье в серии изменений, направленных на то, чтобы сделать раскрытие уязвимостей более прозрачным в Microsoft. В июне компания объявила о CVE облачных сервисов, а в апреле заявила, что опубликует анализ первопричин с использованием стандарта Common Weakness Enumeration.
Dive Insight:
Принятие CSAF знаменует собой еще один шаг к прозрачности со стороны Microsoft, которая год назад объявила о пересмотре своей культуры безопасности в рамках программы под названием Secure Future Initiative.
Microsoft запустила программу в ответ на связанный с государством взлом Microsoft Exchange Online, который привел к краже десятков тысяч писем из Госдепартамента США и вторжению в другие конфиденциальные учетные записи клиентов.
Совет по надзору за кибербезопасностью США опубликовал в апреле уничтожающий отчет, в котором назвал взлом 2023 года полностью предотвратимым и отметил приоритет скорости вывода на рынок над безопасностью при разработке своих продуктов Microsoft.
Агентство по кибербезопасности и безопасности инфраструктуры более двух лет выступает за принятие формата CSAF, чтобы помочь справиться с натиском уязвимостей безопасности, которые сетевым защитникам необходимо анализировать и устранять.
«Поставщики программного обеспечения постоянно работают над тем, чтобы понять, затронуты ли их продукты новой уязвимостью», — сообщил представитель CISA изданию Cybersecurity Dive по электронной почте. «CSAF предоставляет нашему сообществу стандартизированный подход, позволяющий поставщикам раскрывать уязвимости безопасности конечным пользователям ускоренным и автоматизированным способом».