5 августа, когда Microsoft объявила о намерении в рамках программы Active Protections поделиться с производителями средств защиты информации сведениями об имеющихся в ее продуктах уязвимостях, корпорация еще не понимала, что это может стать началом новой эры сотрудничества в целях обеспечения безопасности.
После того как совместными усилиями были весьма успешно подготовлены “заплатки” для получивших широкую огласку прорех в системе доменных имен, пришло время налаживать сотрудничество между производителями компонентов инфраструктуры.
Идея стартующей в октябре программы Active Protections заключается в том, чтобы заблаговременно знакомить разработчиков антивирусов, систем предотвращения вторжений и средств сетевой безопасности с имеющимися уязвимостями и “заплатками”. По словам представителей Microsoft, предсказуемость процесса выпуска корпорацией ежемесячных исправлений для обеспечения безопасности имела неожиданный побочный эффект — появление эксплойта иногда с отставанием всего на несколько часов от выхода обновлений.
Ответом Microsoft на разработку такого эксплойта (так называемый феномен “Exploit Wednesday”) стала программа Active Protections, которая должна позволить производителям средств безопасности быстрее обеспечивать защиту пользователей. Действует также программа исследований в области уязвимости ПО — Microsoft Vulnerability Research Program. Она предусматривает сотрудничество корпорации с независимыми производителями ПО в деле обнаружения уязвимостей и обеспечении взаимной защиты пользователей. Программа распространяется как на уязвимости, выявленные исследователями самой Microsoft, так и на те, о которых корпорацию информируют сторонние пользователи. Сведения о них будут передаваться тем производителям, чье ПО окажется уязвимым.
Решение корпорации поделиться информацией было принято после того, как между различными производителями, включая Microsoft, Sun Microsystems и других, установилось беспрецедентное сотрудничество с целью выпуска исправлений для устранения бреши в системе доменных имен, обнаруженной специалистом по безопасности Дэном Камински. Вендоры приступили к совместной работе по поиску решения в марте. И хотя поначалу возникло множество разногласий, вызванных нежеланием компаний раскрывать подробности относительно характера уязвимости, многие профессионалы в области компьютерной безопасности приветствовали объединение усилий вендоров.
Подобное сотрудничество воодушевляет, поскольку в результате пользователи быстрее получают наиболее надежную защиту. Будучи производителем операционных систем, Microsoft может стать главным игроком в этом новом деле. Подобная возможность имеется также у Apple и Sun Microsystems.
“Любой производитель компонентов инфраструктуры должен признать главенствующую роль Microsoft в предоставлении сведений об обнаруженных уязвимостях, — сказал Эрик Огрен, аналитик из компании The Ogren Group. — Когда появляется слишком много желающих этим заниматься, ничего хорошего не получается. Опасности грозят клиентам со всех сторон. Недостаточно устранить уязвимость операционной системы, если для атаки можно использовать одно из приложений, и наоборот. Необходимо наладить обмен информацией между специалистами по безопасности, чтобы закрыть максимально возможное количество брешей”.
В связи с выпуском продукта Forefront аналитик из компании Gartner Джон Пескаторе указал на возможность конфликта интересов Microsoft с конкурирующими продуктами. Например, в рамках программы Vulnerability Research корпорация может использовать свое положение, чтобы заставить независимых производителей ПО предоставлять ей информацию. В результате, считает Пескаторе, отвечающие за безопасность продуктов Microsoft инженеры будут получать ее раньше, чем специалисты конкурирующих по линии Forefront компаний.
Как бы то ни было, чем больше глаз будет выискивать уязвимости, тем лучше для всех нас. А программа Active Protections способна помочь производителям средств безопасности лучше справляться со смешанными угрозами.
“Я полагаю, что при обнаружении любой уязвимости вина возлагается на Microsoft, даже если брешь находят в ПО другой компании, — заявил Огрен. — Хотелось бы думать, что Microsoft принимает на себя ответственность, которую пользователи возлагают на производителей инфраструктурных компонентов”.