لینک کوتاه مطلب : https://hsgar.com/?p=6968

مسابقه تیم مایکروسافت برای یافتن اشکالات قبل از وقوع

به عنوان یک عجله مجرمان سایبری، هکرهای تحت حمایت دولت و کلاهبرداران همچنان با حملات دیجیتالی و کمپین های تهاجمی در سراسر جهان به منطقه می پردازند، جای تعجب نیست که سازنده سیستم عامل ویندوز همه جا بر روی دفاع امنیتی متمرکز شده است. نسخه‌های به‌روزرسانی پچ سه‌شنبه مایکروسافت اغلب حاوی اصلاحاتی برای آسیب‌پذیری‌های مهم هستند، از جمله آسیب‌پذیری‌هایی که فعالانه مورد بهره برداری قرار می گیرد توسط مهاجمان در جهان

این شرکت در حال حاضر گروه‌های لازم را برای یافتن نقاط ضعف در کد خود (“تیم قرمز”) و توسعه اقدامات کاهشی (“تیم آبی”) دارد. اما اخیراً، این قالب مجدداً برای ترویج همکاری‌ها و کارهای بین رشته‌ای بیشتر توسعه یافته است. کشف اشتباهات و ایرادات بیشتر قبل از شروع مارپیچ. معروف به Microsoft Offensive Research & Security Engineering یا مورس، این دپارتمان تیم قرمز، تیم آبی و تیم به اصطلاح سبز را ترکیب می کند که بر روی یافتن ایرادات یا نقاط ضعفی که تیم قرمز پیدا کرده است تمرکز می کند و آنها را به صورت سیستماتیک تر از طریق تغییرات در نحوه انجام کارها در سازمان برطرف می کند.

دیوید وستون، معاون امنیت سازمانی و سیستم عامل مایکروسافت که به مدت 10 سال در این شرکت بوده است، می گوید: “مردم متقاعد شده اند که بدون سرمایه گذاری در امنیت نمی توانید به جلو حرکت کنید.” من برای مدت طولانی در امنیت بودم. در بیشتر دوران کاری من، ما را آزاردهنده می دانستند. حالا، اگر چیزی باشد، رهبران به سمت من می آیند و می گویند: “دیو، آیا من خوب هستم؟ آیا ما هر کاری از دستمان برمی آمد انجام داده ایم؟’ این یک تغییر قابل توجه بوده است.»

مورس برای ترویج شیوه‌های کدنویسی ایمن در سراسر مایکروسافت تلاش کرده است تا در وهله اول، باگ‌های کمتری در نرم‌افزار این شرکت رخ دهد. OneFuzz، یک چارچوب آزمایشی Azure منبع باز، به توسعه دهندگان مایکروسافت اجازه می دهد تا به طور مداوم کد خود را با انواع موارد استفاده غیرمعمول به صورت خودکار پرتاب کنند تا نقص هایی را که اگر نرم افزار دقیقاً همانطور که در نظر گرفته شده استفاده می شد قابل توجه نبودند، آشکار کنند.

تیم ترکیبی همچنین پیشرو در ترویج استفاده از زبان های برنامه نویسی ایمن (مانند Rust) در سراسر شرکت بوده است. و آنها از تعبیه ابزارهای تحلیل امنیتی به طور مستقیم در کامپایلر نرم افزار واقعی مورد استفاده در گردش کار تولید شرکت حمایت کرده اند. وستون می‌گوید این تغییر تأثیرگذار بوده است، زیرا به این معنی است که توسعه‌دهندگان در یک محیط شبیه‌سازی‌شده تحلیل فرضی انجام نمی‌دهند که در آن برخی از اشکالات ممکن است در مرحله حذف از تولید واقعی نادیده گرفته شوند.

تیم مورس می گوید تغییر به سمت امنیت فعال منجر به پیشرفت واقعی شده است. در نمونه‌ای اخیر، اعضای مورس نرم‌افزارهای تاریخی را بررسی می‌کردند – بخش مهمی از کار گروه، زیرا بسیاری از پایگاه کد ویندوز قبل از این بررسی‌های امنیتی گسترده توسعه یافته بودند. مورس در حین بررسی نحوه پیاده‌سازی Transport Layer Security 1.3، پروتکل رمزنگاری اساسی که در شبکه‌هایی مانند اینترنت برای برقراری ارتباط امن استفاده می‌شود، توسط مایکروسافت، یک اشکال قابل بهره‌برداری از راه دور را کشف کرد که می‌توانست به مهاجمان اجازه دسترسی به دستگاه‌های هدف را بدهد.

به عنوان میچ آدایر، مسئول اصلی امنیتی مایکروسافت برای امنیت ابری، آن را قرار دهید: «به همان اندازه بد بود. TLS اساساً برای ایمن سازی هر محصول خدماتی که مایکروسافت استفاده می کند استفاده می شود.

لینک منبع

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.