Microsoft hat das Azure Security Lab ins Leben gerufen, um Schwachstellen in Azure aufzuspüren und aggressiver als bisher zu testen. Das soll laut Microsoft Security Response Center (MSRC) durch „eine ausgewählte Gruppe talentierter Individuen“ geschehen, die im abgeschirmten Testfeld nach Art krimineller Hacker vorgehen.
Azure Security Lab
Das Azure Security Lab ist ein Set dedizierter Cloud-Hosts. Dort können sich Security-Forscher austoben, um Angriffe im Bereich Infrastructure as a Service zu starten und eventuelle Sicherheitslücken aufzuspüren. Im Unterschied zu bisher können sie zudem versuchen, gefundene Schwachstellen aktiv auszunutzen, denn das Security Lab ist von bestehenden Azure-Kunden isoliert. Für den Zugang zu einer Windows- oder Linux-VM muss eine Anfrage an Microsoft gestellt werden. Neben regelmäßiger Anerkennung sollen die akzeptierten Forscher auch direkten Kontakt zu Security-Experten von Microsoft Azure erhalten.
Die höchstdotierte Prämie des Azure Security Lab wurde mit 300.000 US-Dollar ausgelobt. Sie bezieht sich auf bestimmte Szenarien-basierte Challenges. Außerhalb des neuen Testfelds wurde die mögliche Prämie für Sicherheitslücken in Azure unterdessen auf 40.000 Dollar verdoppelt.
In einem Blogeintrag stellte das MSRC das neue Azure Security Lab vor. Weitere Details zu den Prämien gibt es beim Microsoft Azure Bounty Program.
Safe Harbor
Gleichzeitig wurde auch die Formalisierung des Safe-Harbor-Prinzips bekanntgegeben. Es soll unter anderem dafür sorgen, dass Security-Forscher sich nicht im Rahmen eines der Bug-Bounty-Programme von Microsoft in rechtliche Schwierigkeiten begeben. Bei Unklarheiten bezüglich dessen, was durch das Safe-Harbor-Prinzip abgedeckt ist, stellt Microsoft jedoch klar: „Wenn Zweifel bestehen, fragt uns zuerst!“.
Die Safe-Harbor-Bedingungen sind beim MSRC nachzulesen.