Команда Microsoft спешит выявить недочеты

Уже привычные обновления компании Microsoft включают в себя решения серьезных недостатков. Они выявляют способы, которые сейчас используют злоумышленники по всему миру.

У компании уже есть необходимые команды для поиска уязвимостей в коде («красная команда») и создания защиты от них («синяя команда»). Однако недавно эта структура снова изменилась. В большей степени чтобы стимулировать совместную работу для выявления большего количества ошибок и слабых мест, прежде чем ситуация выйдет из-под контроля. Отдел Microsoft Offensive Research&Security Engineering, также известный под названием Morse, объединяет «красную», «синюю» и предполагаемую «зеленую команду». «Зеленая» отвечает за выявление недостатков или слабых сторон, найденных «красной командой» и более систематическое их устранение путем внесения корректировок в структуру хода работы организации.

Платформа тестирования Azure с открытым исходным кодом под названием OneFuzz позволяет инженерам Microsoft непрерывно и автоматически бомбардировать свой код различными странными вариантами использования. Таким образом они пытаются найти ошибки, которые могли бы остаться незамеченными, если бы программа использовалась только по назначению.

Кроме того, объединенная команда призвала к использованию более безопасных языков программирования (таких как Rust) во всей организации. К тому же они выступали за включение инструментов анализа безопасности прямо в реальный компилятор ПО, используемый в производственном процессе бизнеса.

Проактивная безопасность привела к значительному прогрессу. Поскольку большая часть кодовой базы Windows была создана до этих расширенных проверок безопасности, недавним примером работы членов Morse был обзор исторического программного обеспечения. Отдел обнаружил уязвимые места, которые могли бы дать злоумышленникам доступ к устройствам. Это было выявлено в ходе анализа работы Transport Layer Security 1.3. Это фундаментальный крипто стандарт, используемый в интернете для безопасной связи.