„Microsoft“ komandos lenktynės, kad sugautų klaidas prieš joms įvykstant

„Microsoft“ komandos lenktynės, kad sugautų klaidas prieš joms įvykstant

Kaip skubėjimas Kibernetiniai nusikaltėliai, valstybės remiami įsilaužėliai ir sukčiai toliau užtvindo šią sritį skaitmeninėmis atakomis ir agresyviomis kampanijomis visame pasaulyje, nenuostabu, kad visur esančios Windows operacinės sistemos gamintojas daugiausia dėmesio skiria saugumo apsaugai. „Microsoft“ pataisų antradienio naujinimo leidimuose dažnai yra pataisytų kritinių spragų, įskaitant tuos, kuriuos aktyviai naudoja užpuolikai visame pasaulyje.

Bendrovė jau turi reikiamas grupes, kurios ieškotų savo kodo trūkumų (“raudonoji komanda”) ir sukurtų švelninimo priemones (“mėlynoji komanda”). Tačiau pastaruoju metu šis formatas vėl išsivystė, kad būtų skatinamas didesnis bendradarbiavimas ir tarpdisciplininis darbas, tikintis Suranda dar daugiau klaidų ir trūkumų, kol viskas pradeda suktis spirale. Žinomas kaip „Microsoft Offensive Research & Security Engineering“ arba „Morse“, padalinys jungia raudonąją komandą, mėlynąją komandą ir vadinamąją žaliąją komandą, kurios tikslas – rasti trūkumus arba pašalinti trūkumus. Raudonoji komanda jas rado ir sistemingiau ištaisė pakeitusi, kaip viskas atliekama organizacijoje.

„Žmonės įsitikinę, kad negalite judėti į priekį neinvestuodami į saugumą“, – sako Davidas Westonas, „Microsoft“ įmonių ir operacinių sistemų saugumo viceprezidentas, dirbantis įmonėje 10 metų. „Labai ilgą laiką dirbau saugume. Didžiąją mano karjeros dalį buvome laikomi erzinančiais. Dabar, jei ką, vadovai ateina pas mane ir sako: „Dave, ar man viskas gerai? Ar padarėme viską, ką galėjome? Tai buvo reikšmingas pokytis“.

Morse stengėsi skatinti saugią kodavimo praktiką visoje „Microsoft“, kad mažiau klaidų atsidurtų įmonės programinėje įrangoje. „OneFuzz“, atvirojo kodo „Azure“ testavimo sistema, leidžia „Microsoft“ kūrėjams nuolat būti, automatiškai įterpti į savo kodą įvairiais neįprastais naudojimo atvejais, kad būtų galima nustatyti trūkumus, kurių nebūtų galima pastebėti, jei programinė įranga būtų naudojama tiksliai taip, kaip numatyta.

Sujungta komanda taip pat buvo priešakyje, skatindama saugesnių programavimo kalbų (pvz., Rust) naudojimą visoje įmonėje. Jie pasisakė už tai, kad saugos analizės įrankiai būtų integruoti tiesiai į tikrą programinės įrangos kompiliatorių, naudojamą įmonės gamybos darbo eigoje. Westonas teigia, kad šis pakeitimas turėjo įtakos, nes tai reiškia, kad kūrėjai neatlieka hipotetinės analizės modeliuotoje aplinkoje, kurioje kai kurios klaidos gali būti nepastebėtos atliekant veiksmą, pašalintą iš tikrosios gamybos.

Morzės komanda teigia, kad perėjimas prie aktyvaus saugumo lėmė tikrą pažangą. Naujausiame pavyzdyje „Morse“ nariai tikrino istorinę programinę įrangą – svarbią grupės darbo dalį, nes daug „Windows“ kodų bazės buvo sukurta prieš šias išplėstines saugos peržiūras. Tirdamas, kaip Microsoft įdiegė Transport Layer Security 1.3, pagrindinį kriptografinį protokolą, naudojamą tokiuose tinkluose kaip internetas saugiam ryšiui užtikrinti, Morse’as aptiko nuotoliniu būdu išnaudojamą klaidą, kuri galėjo leisti užpuolikams pasiekti taikinių įrenginius.

Kaip pasakė Mitchas Adair, pagrindinis „Microsoft“ saugos vadovas, atsakingas už Cloud Security: „Būtų buvę taip blogai, kaip yra. TLS naudojamas iš esmės apsaugoti kiekvieną paslaugų produktą, kurį naudoja „Microsoft“.

Leave a Comment

Your email address will not be published.