Microsoft heeft de Zero Day Quest gelanceerd, een nieuw hackevenement met de nadruk op AI en cloudbeveiliging, dat in totaal $ 4 miljoen aan beloningen biedt voor beveiligingsonderzoekers. Dit initiatief, aangekondigd op de Ignite-conferentie in Chicago, breidt de bugbounty-programma’s van Microsoft uit om de AI-beveiliging te verbeteren en de samenwerking tussen de cyberbeveiligingsgemeenschap en de technische teams van Microsoft te bevorderen.
De Zero Day Quest-hackuitdaging van Microsoft levert $ 4 miljoen aan beloningen op
Zero Day-zoektocht begint met een onderzoeksuitdaging die openstaat voor alle deelnemers en waar ze kwetsbaarheden voor specifieke scenario’s kunnen indienen. Deze uitdaging loopt van 19 november 2024 tot 19 januari 2025 en maakt het mogelijk dat succesvolle inzendingen vermenigvuldigde premieprijzen verdienen, waardoor ze mogelijk in aanmerking komen voor een hackevenement op locatie volgend jaar in Redmond, Washington, dat alleen op uitnodiging toegankelijk is. Bovendien stimuleert Microsoft de rapportage van AI-kwetsbaarheden door dubbele beloningen aan te bieden en directe toegang tot zijn AI-ingenieurs en AI Red Team voor deelnemende onderzoekers te vergemakkelijken.
Tom Gallagher, VP Engineering bij het Microsoft Security Response Center (MSRC), benadrukte het belang van het evenement en zei: “Dit nieuwe hackevenement zal het grootste in zijn soort zijn”, waarbij hij benadrukt dat het is ontworpen om de beste beveiligingsgeesten te verenigen deel kennis en verbeter de algehele veiligheid in de cloud- en AI-sectoren. Dit initiatief sluit aan bij het Secure Future Initiative (SFI) van Microsoft, een engagement op het gebied van cybersecurity-engineering dat in november 2023 werd gelanceerd en gericht is op het verbeteren van de beveiligingsmaatregelen voor al zijn producten, te midden van de toenemende kritiek op de beveiligingscultuur.
De uitbreiding van de beveiligingsinitiatieven van Microsoft komt in het licht van verschillende uitdagingen op het gebied van cyberbeveiliging, waaronder recente incidenten waarbij het bedrijf het slachtoffer werd van aanvallen. Met name in mei 2023 hebben Chinese hackers inbreuk gemaakt op het cloudgebaseerde Exchange-e-mailplatform van Microsoft, wat heeft geleid tot de diefstal van meer dan 60.000 e-mails van accounts van het Amerikaanse ministerie van Buitenlandse Zaken. Dit incident, samen met andere wijdverbreide aanvallen waarbij misbruik wordt gemaakt van kwetsbaarheden zoals ProxyShell, ProxyNotShell en ProxyLogon, heeft het bedrijf ertoe aangezet zijn beveiligingsinfrastructuur opnieuw te beoordelen en te verbeteren.
Als onderdeel van het Secure Future Initiative (SFI) wil Microsoft essentiële informatie over kritieke kwetsbaarheden delen via het Common Vulnerabilities and Exposures (CVE)-programma, zelfs als er geen actie van de klant vereist is. Bij het initiatief zijn naar verluidt het equivalent van 34.000 fulltime ingenieurs betrokken die zich richten op beveiligingsuitdagingen met hoge prioriteit, wat de toewijding van het bedrijf aan een gezamenlijke aanpak van cyberbeveiliging onderstreept.
Microsoft dringt er bij gebruikers op aan om Windows te updaten na zero-day-kwetsbaarheden
Meer steun voor onderzoekers
Het bieden van verbeterde ondersteuning en middelen voor beveiligingsonderzoekers is een centraal thema in Zero Day Quest. Het programma moedigt de beveiligingsgemeenschap aan om actief samen te werken met Microsoft-ingenieurs en tegelijkertijd samen te werken om kwetsbaarheden in de AI- en cloudinfrastructuur te identificeren en te beperken. De verdubbeling van de beloningen voor AI-gerelateerde kwetsbaarheden vertegenwoordigt een erkenning van het toenemende belang van het beveiligen van AI-technologieën, waarbij risico’s bredere implicaties kunnen hebben.
David Weston, vicepresident Enterprise en OS-beveiliging van Microsoft, herhaald de strategische richting van het bedrijf door te stellen dat de lessen die zijn geleerd uit de Zero Day Quest zullen bijdragen aan het verbeteren van AI en cloudbeveiliging, waarbij ervoor wordt gezorgd dat bij dergelijke ontwikkelingen prioriteit wordt gegeven aan veiligheid en betrouwbaarheid.
Uitgelichte afbeeldingscredits: Salah Darwish/Unsplash
