سباق فريق Microsoft للقبض على الأخطاء قبل حدوثها

على عجل يواصل مجرمو الإنترنت والمتسللون المدعومون من الدولة والمحتالون إغراق المنطقة بالهجمات الرقمية والحملات العدوانية في جميع أنحاء العالم ، فليس من المستغرب أن يركز صانع نظام التشغيل Windows في كل مكان على الدفاع الأمني. تحتوي إصدارات تحديث يوم الثلاثاء من Microsoft بشكل متكرر على إصلاحات لنقاط الضعف الحرجة ، بما في ذلك تلك الموجودة يتم استغلالها بنشاط من قبل المهاجمين في العالم.

تمتلك الشركة بالفعل المجموعات المطلوبة للبحث عن نقاط الضعف في التعليمات البرمجية الخاصة بها (“الفريق الأحمر”) وتطوير وسائل التخفيف (“الفريق الأزرق”). ولكن في الآونة الأخيرة ، تطور هذا التنسيق مرة أخرى لتعزيز المزيد من التعاون والعمل متعدد التخصصات على أمل اكتشاف المزيد من الأخطاء والعيوب قبل أن تبدأ الأمور في التدهور. مورسيجمع القسم بين الفريق الأحمر والفريق الأزرق وما يسمى بالفريق الأخضر ، والذي يركز على اكتشاف العيوب أو أخذ نقاط الضعف التي اكتشفها الفريق الأحمر وإصلاحها بشكل أكثر منهجية من خلال التغييرات في كيفية تنفيذ الأشياء داخل المنظمة.

يقول ديفيد ويستون ، نائب رئيس شركة Microsoft لأمن المؤسسات وأنظمة التشغيل الذي يعمل في الشركة منذ 10 سنوات: “الناس مقتنعون بأنه لا يمكنك المضي قدمًا دون الاستثمار في الأمن”. “لقد كنت في الأمن لفترة طويلة جدًا. بالنسبة لمعظم مسيرتي المهنية ، كان يُعتقد أننا مزعجون. الآن ، إذا كان هناك أي شيء ، يأتي القادة إليّ ويقولون ، “ديف ، هل أنا بخير؟ هل فعلنا كل ما في وسعنا؟ لقد كان هذا تغييرًا كبيرًا “.

يعمل Morse على تعزيز ممارسات الترميز الآمنة عبر Microsoft ، لذلك ينتهي الأمر بعدد أقل من الأخطاء في برامج الشركة في المقام الأول. يسمح OneFuzz ، وهو إطار عمل اختبار Azure مفتوح المصدر ، لمطوري Microsoft بأن يكونوا باستمرار ، ويقومون تلقائيًا بإدخال التعليمات البرمجية الخاصة بهم مع جميع أنواع حالات الاستخدام غير العادية لاكتشاف العيوب التي لن تكون ملحوظة إذا تم استخدام البرنامج فقط كما هو مقصود تمامًا.

كان الفريق المشترك أيضًا في طليعة الترويج لاستخدام لغات البرمجة الأكثر أمانًا (مثل Rust) عبر الشركة. وقد دافعوا عن تضمين أدوات تحليل الأمان مباشرة في برنامج التحويل البرمجي الحقيقي المستخدم في سير عمل إنتاج الشركة. يقول ويستون إن هذا التغيير كان ذا تأثير لأنه يعني أن المطورين لا يقومون بتحليل افتراضي في بيئة محاكاة حيث قد يتم التغاضي عن بعض الأخطاء في خطوة يتم إزالتها من الإنتاج الحقيقي.

يقول فريق مورس إن التحول نحو الأمن الاستباقي أدى إلى تقدم حقيقي. في مثال حديث ، كان أعضاء مورس يقومون بفحص البرامج التاريخية – وهو جزء مهم من عمل المجموعة ، حيث تم تطوير الكثير من قاعدة رموز Windows قبل هذه المراجعات الأمنية الموسعة. أثناء فحص كيفية قيام Microsoft بتطبيق Transport Layer Security 1.3 ، وهو بروتوكول التشفير الأساسي المستخدم عبر الشبكات مثل الإنترنت للاتصال الآمن ، اكتشف مورس خطأً يمكن استغلاله عن بُعد كان يمكن أن يسمح للمهاجمين بالوصول إلى أجهزة الأهداف.

بصفته ميتش أدير ، المسؤول الأمني ​​الرئيسي لشركة Microsoft للأمان السحابي ، ضعه: “كان يمكن أن يكون سيئًا بقدر ما يحصل. يتم استخدام TLS لتأمين كل منتج خدمة تستخدمه Microsoft بشكل أساسي. “