مايكروسوفت هو توسيع نطاقها مكافأة علة مخطط لمكافأة الأشخاص الذين اكتشفوا ثغرات أمنية عالية الخطورة يمكن أن تؤثر على أمان خدمات Microsoft عبر الإنترنت.
تعمل الشركة على توسيع برنامج المكافآت الخاص بها ليشمل نقاط الضعف في البرامج التي قد تؤثر على الخدمات التي تقدمها الشركة، بغض النظر عما إذا كانت مملوكة لشركة Microsoft وتديرها.
منحت مايكروسوفت أكثر من 17 مليون دولار للباحثين الأمنيين من خلال برامج مكافآت الأخطاء وأحداث القرصنة المباشرة في العام الماضي، وتتوقع تقديم المزيد في عام 2026.
وقالت الشركة، التي يقع مقرها في ريدموند، إن البرنامج، الذي يطلق عليه اسم “في النطاق افتراضيًا”، سيوسع نظام مكافآت الأخطاء الخاص بها ليشمل نقاط الضعف الخطيرة التي تؤثر على خدمات Microsoft السحابية.
وسوف تقدم مكافآت للجهات الخارجية والتعليمات البرمجية مفتوحة المصدر في الحالات التي لا يتوفر فيها برنامج مكافآت الأخطاء الحالي، إذا كان لها تأثير على منتجات Microsoft عبر الإنترنت.
ادعت Microsoft أنها “ستفعل كل ما يلزم” لضمان إصلاح الأخطاء في البرامج مفتوحة المصدر وبرامج الطرف الثالث. وقالت: “قد يكون هذا بمثابة كتابة تصحيحات أو تقديم الدعم لمساعدة مالك الكود في معالجة عنوانه”. “سيعتمد مستوى الدعم على ما هو مطلوب على أساس كل حالة على حدة.”
حتى الآن، ركزت مايكروسوفت أبحاثها حول نقاط الضعف على برامج مكافأة الأخطاء التي تركز على المنتج.
سيتخذ برنامج المكافآت الجديد “نهجًا شموليًا”، يعكس الطرق التي يجدها المتسللون العدائيون لمهاجمة الأنظمة، والتي غالبًا ما تتضمن العثور على نقاط ضعف بين حدود منتجات البرامج المختلفة.
وقال توم غالاغر، نائب رئيس مركز الاستجابة الأمنية لـ Microsoft، إن التغيير سيضمن وجود حماية أقوى ضد نقاط الضعف في سلاسل التوريد التي يمكن للمهاجمين استخدامها “للتحويل” إلى أهداف عالية القيمة.
وقال لمجلة Computer Weekly إن نهج Microsoft هو استخدام تقارير الأخطاء، ليس فقط من أجل إصلاح الأخطاء، ولكن كعلامة حمراء لتحديد المجالات التي قد تحتاج فيها Microsoft إلى تخصيص موارد أمنية إضافية.
لقد كانت مايكروسوفت وانتقده باحثون أمنيون بسبب “التأخيرات غير المقبولة” في إصلاح نقاط الضعف الخطيرة في منصة Azure السحابية الخاصة بها إفساد تصحيح أمني واحد والذي استغله الجواسيس الصينيون لاحقًا.
وقال غالاغر إن الشركة أصبحت أكثر شفافية بشأن الأمن خلال الأشهر الـ 12 الماضية. يتضمن ذلك نشر تقارير CVE حول ثغرات البرامج المكتشفة في خدماتها السحابية، والتي لم يتم الكشف عنها علنًا في السابق حيث تم تصحيحها تلقائيًا بواسطة Microsoft.
وقال: “كانت Microsoft أول مزود سحابي يقول، مهلاً، إذا كانت هناك مشكلة حرجة في السحابة، حتى لو لم تكن بحاجة إلى تصحيحها، فسوف نقوم بإصدار CVE ذلك”. “ونحن نفعل ذلك بالنسبة للقضايا التي يبلغ عنها الباحثون الأمنيون.”
يتم اكتشاف ما يقرب من نصف التهديدات الأمنية المشتركة بواسطة متخصصي الأمان التابعين لشركة Microsoft.
قيمة نقاط الضعف
تأخذ الشركة عدة عوامل في الاعتبار عند تحديد المبلغ الذي ستدفعه مقابل الثغرة الأمنية، وستقدم المزيد لتشجيع الأشخاص على البحث عن الأخطاء في المجالات الرئيسية.
مايكروسوفت هايبر V، وهي أداة تستخدم لعزل الأجهزة الافتراضية في Windows وعلى Microsoft Azure، وهي ذات أولوية، حيث تجتذب ما يصل إلى ربع مليون دولار لثغرة أمنية واحدة.
صرح جالاغر لموقع Computer Weekly أنه منذ انضمامه إلى Microsoft في عام 1999، أصبح من الصعب جدًا على الباحثين الأمنيين والجهات الفاعلة السيئة العثور على ثغرات أمنية في برامج Microsoft.
وقال: “في النظام الحديث، سيتعين عليك العمل بجد للعثور على هذا الخطأ الأولي، ومن أجل بناء استغلال كامل، ستحتاج غالبًا إلى سلسلة من الثغرات الأمنية المتوافقة تمامًا”.
استخدام الذكاء الاصطناعي للعثور على الأخطاء
وتنظر الشركة أيضًا في كيفية استخدام الذكاء الاصطناعي (AI) لأتمتة عملية العثور على نقاط الضعف. وقال غالاغر: “إنها في المراحل المبكرة للغاية”. “يبدو الأمر مثمرًا للغاية، وأنا متحمس لذلك.”
وقال إن الذكاء الاصطناعي يمكن تدريبه على فهم الأنظمة المعقدة وسيكون قادرًا على العثور على نقاط الضعف على نطاق لا يستطيع البشر مضاهاته.
قال غالاغر: “بالنسبة لشركة مثلنا، يعد هذا أمرًا ذا قيمة كبيرة لأنه يمكننا العثور على مجموعة من المشكلات بسرعة كبيرة”. “يمكنك أيضًا أن تتخيل نقله إلى الخطوة التالية حيث تستخدمه أيضًا لإصلاح المشكلات والتخفيف من حدتها.”
وأضاف أنه في المستقبل، سيكون هناك المزيد من التركيز على التحقق من أمن أنظمة الذكاء الاصطناعي ذات النماذج اللغوية الكبيرة. وعلى عكس أبحاث الثغرات الأمنية التقليدية، فإن ذلك لن يحتاج بالضرورة إلى أشخاص يتمتعون بمهارات تقنية قوية.
قال غالاغر: “إذا كنت محتالاً جيدًا، أو مهندسًا اجتماعيًا، أو كنت على دراية بكيفية التحدث إلى شخص ما، فلن تحتاج إلى هذه الخبرة الفنية”.
وأضاف أن مايكروسوفت تدير برامج لتشجيع الباحثين الأمنيين على البحث عن الأخطاء وتطوير مهارات الشباب المهتمين بأبحاث الثغرات الأمنية.
وهي تشمل سلسلة من مؤتمرات Blue Hat في ريدموند وإسرائيل والهند، للأشخاص الذين يبدأون حياتهم المهنية في مجال البحوث الأمنية. قال غالاغر: “نريد إشراكهم مبكرًا ومساعدتهم على فهم كيف يمكنهم الاستفادة من بعض تلك المهارات الأساسية”.
