谁才是Windows真正的安全卫士?

描述

 

 

诸如计算机安全这样的复杂问题,从来没有简单的答案。黑客攻击影响范围甚广,小到让人不快(例如电脑屏幕上永远关不完的弹窗),大到波及全球(比如2021年导致美国东海岸燃料短缺的勒索软件攻击),因此很难一劳永逸地解决计算机安全问题。

 

   

 

应对在技术发展过程中日趋重要的安全问题,应该多管齐下。与许多企业仅在问题发生后仓促修补不同,微软采取全方位安全措施,由专门团队从全领域范围进行考量,致力于消弭漏洞于萌芽之前,在电脑产生漏洞、全球黑客袭击操控之前消除代码缺陷。对于安全团队来说,安全问题不容假设,而是应关注如何解决问题。

 

微软安全部门首席安全软件工程主管贾斯汀·坎贝尔(Justin Campbell)说:“这是一场不会终结的猫捉老鼠的游戏。一切都在变化。Windows也没有停滞不前,不断会有新功能、新想法、新技术和新程序加入。这种变化不单单出现在安全领域,还影响了软件构建过程。30年前的代码和我们今天发行的新产品同样都需要考虑安全问题,这可真不是个小范围。”

 

坎贝尔带领着一个由60多名成员组成的微软攻击研究与安全工程(MORSE)团队,三管齐下,全面守护操作系统代码安全。MORSE设有红色、蓝色和绿色三个团队,各司其职,积极应对安全威胁,修复损坏代码,防止问题发生。

 

红蓝绿三个团队配合提供多重防护,开发各种新技术,包括识别代码潜在弱点、针对最新威胁构建新工具,强化建设长短期安全防护能力,裨益各方团队。

 

微软  

 

 

许多网络安全术语起源于计算机模拟、视频游戏、军事演习和实时模拟系统,许多专家也通过研究这些领域掌握网络安全的要义。受此启发,红队负责分析现实攻击策略确定攻击路径;蓝队则试图抵御这些攻击,并防止红队突破现有防御。帮助缓解高风险、系统性的安全问题,并通过从红色和蓝色团队中吸取经验和工具,大规模地修复这些问题。

 

 

 

行业内其他安全团队主要关注的是红队所负责的安全问题,但MORSE是三个团队强强联合,持续工作,在攻击者之前发现漏洞并予以修复。

 

我们不只是负责寻找漏洞的红队。我们不会被动等待别人告诉我们漏洞的存在。我们的小组在自给自足方面取得了适当的平衡,可以发现问题,做出反应,然后在产品上进行投资。这不仅仅是传统的错误搜索。

贾斯汀·坎贝尔

微软安全部门首席安全软件工程主管

 

更重要的是,MORSE并没有狭隘地仅将识别成果为微软自己所用。该安全社区致力于分享研究和成果,为每个人提供更好的产品。

 

我们的目标是让每个人都能写出更安全的代码”Campbell说。

 

微软解决传输层安全性协议(TLS)1.3版本问题的案例,就很好体现了该团队的工作方式和在预防损害方面所起的作用。TLS协议保障不受信任网络能够进行安全通信,用于各种应用程序,在HTTPS网站地址的安全层中的应用最为重要。安全审查此前尚未内嵌至软件开发生命周期之内, MORSE团队重新分析该期间的旧代码,在协议发布之前审查更新版协议,识别出一个可使黑客控制用户主机的远程代码执行漏洞。

 

微软  

 

微软云安全首席安全主管米奇·阿代尔(Mitch Adair)说:“后果不堪设想。TLS几乎用于保护微软使用的每一款服务产品。好在审查代码过程中,我们发现并成功修复了这个问题。”

 

微软还让开发人员投身保障代码安全工作中,推出了用于Azure的测试框架OneFuzz。模糊测试可以非常有效地提高本地代码的安全性和可靠性。模糊测试不局限于开发人员发现和修复已知错误的传统静态测试,可以为随机事件创建反馈循环,增加发现不可预见性错误的机会。

 

微软  

数字化工具更直观、更迅速印证理论概念

 

传统上,模糊测试在软件开发生命周期中让人又爱又恨——开发人员必须进行模糊测试,但想执行有效的模糊测试过程很复杂。OneFuzz将漏洞识别提前至开发生命周期早期,发挥了安全工程团队的能动性,使安全工程团队能够主动采取行动。另外,MORSE团队能使内部程序工具运作更快,助力OneFuzz运行更多测试,也能体现MORSE团队提升安全防护能力的全面性。

 

我们致力于帮助开发者做正确的事,帮助他们改善工作成果。OneFuzz能帮助他们自己找到漏洞。

贾斯汀·坎贝尔

微软安全部门首席安全软件工程主管

 

所以,一定要想黑客之所想才能对付黑客吗?MORSE团队在选任成员时注重技能和心态,要能应对风云变幻的网络安全环境提出的日常挑战。团队成员背景多元,这种背景多样性有利于在处理和解决安全问题时采取不同方法。

 

安全软件工程师拓实·皮阿扎(Toshi Piazza)感觉他在微软的工作自然延续了其在伦斯勒理工学院(Rensselaer Polytechnic Institute)养成的兴趣。在学校里,他是伦斯勒理工学院安全团队的成员,参加了“夺旗”黑客比赛。

 

皮阿扎说:“我们团队成员的想法并不相同,但我认为大家都具有与生俱来的好奇心。我们已经将这种心态渗透到了我们的日常工作中。我们像个黑客一样,着手解决具体问题。这并不坏。其实我觉得这非常有趣。”

 

小小一个错误就可能影响全球数百万用户, MORSE的成员表示,应对挑战,服务客户让他们觉得自己是值得的。

 

阿代尔(Adair)说:“能够从事这个行业工作,参加夺旗活动和锦标赛的人都具有超强的分析能力,擅长多回合博弈。迈出第一步就像‘婴儿的第一次冒险’,我该怎么才能过这一关?10分钟还是3天?然后碰到的事情越来越难——解决过去20-30年里网络安全工作人员一直想要抵御的风险。背后是不断学习,探索令人兴奋事物的渴望。”

 

如果MORSE团队恰恰因为消弭一些潜在灾难性问题于无形,而没能获得其应得的荣誉呢?这其实早已在他们的预料之中。皮阿扎说道:“我们的功绩并不为人所共知,但默默无闻恰恰就是对我们工作成绩的肯定,这正是我们想要的。”

 

 

 


原文标题:谁才是Windows真正的安全卫士?

文章出处:【微信公众号:微软科技】欢迎添加关注!文章转载请注明出处。


打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分