Tenable首席执行官表示微软未能解决严重的安全漏洞
网络安全公司Tenable的首席执行官在LinkedIn上严厉批评微软在修补高严重性缺陷和其他危险漏洞方面的做法。
在微软拥有的平台上发表的一篇文章(有点讽刺的是)中,阿米特·约兰(AmitYoran)表示,微软在违规和漏洞方面有着不透明行为的历史,“所有这些都让他们的客户面临被故意蒙在鼓里的风险”关于”。
这位首席执行官表示,他的公司于2023年3月在Azure平台中发现了一个高严重性缺陷,该缺陷可能使威胁行为者能够快速发现身份验证秘密。为了强调调查结果的重要性,Yoran表示,分析师发现了一家银行的秘密,不久之后,他们将这些问题通知了微软。
这家雷德蒙德软件巨头在几天内就承认了这一发现,但花了大约三个月的时间才发布了补丁,据Yoran称,该补丁是不完整的,并没有完全解决问题。它仅适用于服务中加载的新应用程序。
“这意味着截至今天,我上面提到的银行仍然容易受到攻击,距我们报告该问题已有120多天了,所有其他在修复之前启动该服务的组织也是如此,”他说。“而且,据我们所知,他们仍然不知道自己面临风险,因此无法就补偿控制和其他风险缓解措施做出明智的决定。”
根据Yoran的说法,微软承诺在9月底之前进行修复,他补充说,这“即使不是公然疏忽,也是非常不负责任的”。
他的文章在LinkedIn上引发了相当大的争论,有近百条不同的评论和评论。许多附和的人都同意Yoran的言论,其中一位愤世嫉俗地说:“所以你基本上是说30年来什么都没有改变?”。
微软尚未对这些指控发表评论。
微软声称他们将在9月底前修复该问题,即我们通知他们四个月后。这即使不是公然疏忽,也是极其不负责任的。我们知道这个问题,微软也知道这个问题,但愿威胁行为者不知道。
云提供商长期以来一直拥护共享责任模型。如果您的云供应商没有在出现问题时通知您并公开应用修复程序,那么该模型将无法挽回地被破坏。
你从微软那里听到的是“相信我们”,但你得到的却是很少的透明度和一种有毒的混淆文化。鉴于事实模式和当前行为,CISO、董事会或执行团队如何相信Microsoft会做正确的事情?微软的业绩记录让我们所有人都面临风险。而且情况比我们想象的还要糟糕。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。