微软推出全新漏洞赏金计划，增强软件安全性

关键要点

微软在其年度Ignite大会上宣布了4百万美元的全新漏洞赏金计划Zero Day Quest，旨在提升软件安全性。新增的安全措施包含专注风险管理工具、针对生成AI的内部风险管理升级、新的数据损失防护功能。微软将把大部分资金分配给AI和云计算相关的漏洞研究，同时推动基于图形的安全姿态管理工具。

微软在其年度Ignite大会上宣布了多项新安全措施，旨在加强其现有的数据保护、终端安全和扩展的威胁检测及响应能力。

值得注意的改进包括推出一款专用的风险暴露管理工具、针对生成AI使用的内部风险管理IRM升级、新的数据损失防护DLP功能，以及将生成AI集成到安全运营中心SOC流程中。

相关链接：[Microsoft Ignite 2024 新闻与洞察]

在此次会议上，微软还宣布了一项新的人工智能和云安全漏洞赏金计划Zero Day Quest。

新的漏洞赏金计划

“去年，微软通过我们的漏洞赏金计划向报告漏洞的安全研究人员提供了1660万美元的奖励，”微软安全响应中心的工程副总裁汤姆加拉赫表示。他补充道：“这是业内最高的奖励金额。此外，微软对漏洞研究的支付是基础，而许多公司则要求必须提供有效利用漏洞的开发，才能获得支付，这通常需要解决多个漏洞，也需要大量的工作。”

Zero Day Quest将这笔预算增加了400万美元，专注于AI和云相关的漏洞研究。

然而，这笔资金在一些漏洞赏金计划中可能并不算高，比如苹果和Zerodium等公司就可能为单个漏洞提供高达200万美元的奖励。加拉赫还表示，研究人员的提交还可赢得2025年在雷德蒙德举行的现场黑客活动的名额。

从列表保护到图形保护

该公司还在寻求帮助企业保护自身系统的方法，通过像微软安全暴露管理这样的工具，这项工具目前已广泛可用。

此项工具旨在通过基于图形的风险管理代替传统的基于列表的保护，映射企业中身份、凭证、权限、文件、设备及其他连接之间不断变化的关系。

“传统的漏洞管理已不再足够，”微软安全姿态及暴露管理的产品营销总监Brjann Brekkan在与CSOonline共享的声明中表示。“尽管修补每一个潜在的弱点似乎是一个解决方案，但实际上既不切实际也不有效。相反，现代安全策略必须聚焦于攻击者最容易利用的暴露点，优先处理那些带来最大风险的漏洞。”

微软今年早些时候发布了安全暴露管理的公开预览，并有超过70000名微软客户进行了试用，以保护关键实体，按照公司安全部门的副总裁Vasu Jakkal的说法。

该套件的主要功能包括攻击面管理、攻击路径分析和统一的暴露洞察。“暴露管理帮助安全团队理解他们攻击面的真实地形，从而更有效地防范或最小化威胁，”Jakkal补充道。

将生成AI纳入安全措施

微软还公布了在保护客户使用AI方面的一系列进展，其中大部分是在微软安全Copilot内实现的。

在微软Entra身份和访问管理解决方案和微软Intune终端管理解决方案中，为IT管理员解锁了新的Copilot技能。

安全Copilot最初于四月作为Intune的预览版发布，如今已扩展至支持Intune、Intune套件和Windows Autopatch，为IT工作人员提供AIguided的洞察，帮助解决事件。

此外，该公司表示，它还将嵌入到Microsoft Entra门户中，并在身份管理工作流程中新增直接可用的功能。

此外，微软还为数据安全和合规团队在微软Purview中推出了新的Copilot

快喵加速器安卓安装包