Microsoft Ekibi, Hataları Olmadan Önce Yakalamak İçin Yarışıyor


acele olarak siber suçlular, devlet destekli bilgisayar korsanları ve dolandırıcıların sayısı dünya çapında dijital saldırılar ve saldırgan kampanyalarla bölgeyi doldurmaya devam ediyor, her yerde bulunan Windows işletim sisteminin üreticisinin güvenlik savunmasına odaklanması şaşırtıcı değil. Microsoft’un Salı Yaması güncellemesi sürümleri, sıklıkla kritik güvenlik açıkları için düzeltmeler içerir. aktif olarak sömürülmek dünyadaki saldırganlar tarafından.

Şirket, kodundaki zayıflıkları aramak (“kırmızı ekip”) ve hafifletmeler geliştirmek (“mavi ekip”) için gerekli gruplara zaten sahiptir. Ancak son zamanlarda, bu biçim umutlarla daha fazla işbirliğini ve disiplinler arası çalışmayı teşvik etmek için yeniden gelişti. işler sarpa sarmaya başlamadan önce daha da fazla hata ve kusuru yakalamaktır.Microsoft Saldırı Araştırma ve Güvenlik Mühendisliği olarak bilin veya Morsdepartman kırmızı ekibi, mavi ekibi ve kırmızı ekibin bulduğu kusurları bulmaya veya zayıflıkları almaya ve bir organizasyon içinde işlerin nasıl yapıldığına ilişkin değişiklikler yoluyla bunları daha sistematik olarak düzeltmeye odaklanan sözde yeşil ekibi birleştirir.

10 yıldır şirkette çalışan Microsoft’un kurumsal ve işletim sistemi güvenliğinden sorumlu başkan yardımcısı David Weston, “İnsanlar güvenliğe yatırım yapmadan ilerleyemeyeceğinize inanıyor” diyor. “Uzun zamandır güvenlikteyim. Kariyerimin çoğu için sinir bozucu olarak kabul edildik. Şimdi, eğer bir şey olursa, liderler bana geliyor ve ‘Dave, ben iyi miyim? Yapabileceğimiz her şeyi yaptık mı?’ Bu önemli bir değişiklik oldu.”

Morse, Microsoft genelinde güvenli kodlama uygulamalarını teşvik etmek için çalışıyor, böylece ilk etapta şirketin yazılımında daha az hata oluyor. Açık kaynaklı bir Azure test çerçevesi olan OneFuzz, Microsoft geliştiricilerinin, yazılım yalnızca tam olarak amaçlandığı gibi kullanılıyorsa fark edilmeyecek kusurları ortaya çıkarmak için her türlü olağandışı kullanım durumuyla kodlarını sürekli olarak doldurmalarına olanak tanır.

Birleşik ekip ayrıca şirket genelinde daha güvenli programlama dillerinin (Rust gibi) kullanımını teşvik etmede ön saflarda yer aldı. Ayrıca, güvenlik analizi araçlarının doğrudan şirketin üretim iş akışında kullanılan gerçek yazılım derleyicisine yerleştirilmesini de savundular. Weston, bu değişikliğin etkili olduğunu söylüyor, çünkü bu, geliştiricilerin, gerçek üretimden kaldırılan bir adımda bazı hataların gözden kaçırılabileceği simüle edilmiş bir ortamda varsayımsal analiz yapmadığı anlamına geliyor.

Morse ekibi, proaktif güvenliğe geçişin gerçek ilerlemeye yol açtığını söylüyor. Yakın tarihli bir örnekte, Mors üyeleri, Windows kod tabanının çoğu bu genişletilmiş güvenlik incelemelerinden önce geliştirildiğinden, grubun işinin önemli bir parçası olan tarihi yazılımları inceliyorlardı. Morse, Microsoft’un güvenli iletişim için internet gibi ağlarda kullanılan temel şifreleme protokolü olan Transport Layer Security 1.3’ü nasıl uyguladığını incelerken, saldırganların hedef cihazlarına erişmesine izin verebilecek, uzaktan kullanılabilir bir hata keşfetti.

Microsoft’un Bulut Güvenliği için başlıca güvenlik lideri Mitch Adair olarak, koymak: “Olabildiğince kötü olurdu. TLS, temelde Microsoft’un kullandığı her bir hizmet ürününün güvenliğini sağlamak için kullanılır.”


Kaynak : https://www.wired.com/story/microsoft-morse-team/

Yorum yapın

SMM Panel PDF Kitap indir