מיקרוסופט פרסמה השבוע בקשה, שעל פניו תישמע לא הגיונית: נסו בבקשה לפרוץ לתוך "אז'ור", שירות הענן של החברה, לעיתים קרובות יותר. ענקית התוכנה אינה מנסה לעודד מתקפות זדוניות, אך היא רוצה שחוקרי אבטחת רשת יחפשו יותר חולשות במוצר הדגל שלה בתחום הענן, כדי שתוכל ללמוד את חסרונותיה ולתקנם.
לדברי קימברלי פרייס, מנהלת מרכז התגובה הביטחוני של מיקרוסופט, "האקרים בצווארון לבן" כבר עושים זאת במוצרים ישנים יותר של החברה, כגון מערכת ההפעלה חלונות ובתוכנות אופיס, אך אין די פצחנים שהציבו את אז'ור על הכוונת שלהם. החברה מתכננת לתקן זאת, בין השאר בהצהרה מפורשת שלא תנקוט צעדים משפטיים נגד מומחים כאלו, והענקת הטבות למי שימצאו חורים בתוכנה.
מיקרוסופט מוטרדת מחורים אפשריים במוצר שלה דווקא משום שהיא מהמרת בגדול על הצלחת טכנולוגיית הענן בעתיד. המעבר למחשוב מבוסס ענן ישנה את אבטחת הסייבר, ויספק הזדמנויות חדשות ואתגרים חדשים.
מיקרוסופט מתכננת להפיץ הצהרת "נמל מבטחים", שתעניק לחוקרי אבטחה את האישור החוקי לחקור חולשות במוצר. "עשינו את זה בעבר, אך אף פעם לא הגדרנו את העניין בשפה רשמית", אמרה פרייס. לדבריה, חשוב לפרסם מדיניות רשמית לעבודה של חוקרים על מערכות ענן, שכן הם עלולים להפיל בטעות מהרשת שירות כלשהו, או לקבל בטעות גישה למידע אישי של לקוח, ולהסתכן בהאשמות פליליות או בתביעה אזרחית.
כשהחלה לעבוד במיקרוסופט הייתה פרייס ממהנדסי האבטחה שייסדו את מאמצי החברה לעבוד בשיתוף חוקרי אבטחת רשת, ולא לראות בהם יריבים.
לדברי מנהל הטכנולוגיה הראשי של אז'ור, מארק רוסינוביץ', פצחנים עדיין מעדיפים לתקוף רשתות שפועלות בשרתי חברות ולא בענן המחשוב, אך המציאות משתנה. "רמת התחכום של התוקפים והעניין בתקיפת הענן גדלים עם גדילת הענן עצמו".
אבטחת ענן דורשת כלים וטכניקות חדשות, אך היא גם מאפשרת לחברות כמו מיקרוסופט לעקוב אחרי כמויות אדירות של נתונים, לנתחם בניסיון למצוא שחקנים זדוניים, ולסרוק רשתות של מאות אלפי לקוחות כדי שתוכל לתפוס מתקפות בתחילתן.
רוסינוביץ' דיבר על אבטחת הענן בכנס אקדמי של מיקרוסופט, בנוכחות מאות מעובדי החברה וכן מהנדסי אבטחה של אמזון, גוגל ואחרים. האירוע צמח מתוך קבוצת ניסוי שכללה עובדים ממיקרוסופט, אמזון וגוגל שמטרתם להשתמש בבינה מלאכותית לצורך אבטחת הענן. בעת הניסוי הצוות שיתף פעולה בטכניקות מחקר, וכך נולד הרעיון לערוך כנס משותף.
"התקווה היא שהחלפת המידע, הכלים והטכניקות תעזור לכולם להילחם בתוקפים", אמר סטיב דיספנסה, המנהל הכללי של אבטחת ענן ובינה מלאכותית במיקרוסופט. "הרעיון שאנחנו חכמים יותר מהתוקפים הוא מיתוס מסוכן", הוא הזהיר. "הם יודעים לפנינו היכן נקודות התורפה. אנחנו מפרסמים מידע ולומדים. הגאות תרים את כל הספינות".
תרגם: אלחנן שפייזר
