acele olarak siber suçlular, devlet destekli bilgisayar korsanları ve dolandırıcıların sayısı dünya çapında dijital saldırılar ve saldırgan kampanyalarla bölgeyi doldurmaya devam ediyor, her yerde bulunan Windows işletim sisteminin üreticisinin güvenlik savunmasına odaklanması şaşırtıcı değil. Microsoft’un Salı Yaması güncelleme sürümleri, dünyanın dört bir yanındaki saldırganlar tarafından aktif olarak istismar edilenler de dahil olmak üzere, kritik güvenlik açıkları için sık sık düzeltmeler içerir.
Şirket, kodundaki zayıflıkları aramak (“kırmızı ekip”) ve hafifletmeler geliştirmek (“mavi ekip”) için gerekli gruplara zaten sahiptir. Ancak son zamanlarda, bu biçim umutlarla daha fazla işbirliğini ve disiplinler arası çalışmayı teşvik etmek için yeniden gelişti. işler sarpa sarmaya başlamadan önce daha fazla hata ve kusuru yakalamaktır.Microsoft Saldırı Araştırma ve Güvenlik Mühendisliği veya Morse olarak bilin, departman kırmızı takımı, mavi takımı ve kusurları bulmaya veya zayıflıkları gidermeye odaklanan yeşil takımı birleştirir. kırmızı ekip, bir kuruluşta işlerin nasıl yapıldığına ilişkin değişiklikler yoluyla bunları daha sistematik olarak buldu ve düzeltti.
10 yıldır şirkette çalışan Microsoft’un kurumsal ve işletim sistemi güvenliğinden sorumlu başkan yardımcısı David Weston, “İnsanlar güvenliğe yatırım yapmadan ilerleyemeyeceğinize inanıyor” diyor. “Uzun zamandır güvenlikteyim. Kariyerimin çoğu için sinir bozucu olarak kabul edildik. Şimdi, eğer bir şey olursa, liderler bana geliyor ve ‘Dave, ben iyi miyim? Yapabileceğimiz her şeyi yaptık mı?’ Bu önemli bir değişiklik oldu.”
Morse, Microsoft genelinde güvenli kodlama uygulamalarını teşvik etmek için çalışıyor, böylece ilk etapta şirketin yazılımında daha az hata oluyor. Açık kaynaklı bir Azure test çerçevesi olan OneFuzz, Microsoft geliştiricilerinin, yazılım yalnızca tam olarak amaçlandığı gibi kullanılıyorsa fark edilmeyecek kusurları ortaya çıkarmak için her türlü olağandışı kullanım durumuyla kodlarını sürekli olarak doldurmalarına olanak tanır.
Birleşik ekip, şirket genelinde daha güvenli programlama dillerinin (Rust gibi) kullanımını teşvik etmede de ön saflarda yer aldı. Ayrıca, güvenlik analizi araçlarının doğrudan şirketin üretim iş akışında kullanılan gerçek yazılım derleyicisine yerleştirilmesini de savundular. Weston, bu değişikliğin etkili olduğunu söylüyor, çünkü bu, geliştiricilerin, gerçek üretimden kaldırılan bir adımda bazı hataların gözden kaçırılabileceği simüle edilmiş bir ortamda varsayımsal analiz yapmadığı anlamına geliyor.
Morse ekibi, proaktif güvenliğe geçişin gerçek ilerlemeye yol açtığını söylüyor. Yakın tarihli bir örnekte, Mors üyeleri, Windows kod tabanının çoğu bu genişletilmiş güvenlik incelemelerinden önce geliştirildiğinden, grubun işinin önemli bir parçası olan tarihi yazılımları inceliyorlardı. Morse, Microsoft’un güvenli iletişim için internet gibi ağlarda kullanılan temel şifreleme protokolü olan Transport Layer Security 1.3’ü nasıl uyguladığını incelerken, saldırganların hedef cihazlarına erişmesine izin verebilecek, uzaktan kullanılabilir bir hata keşfetti.
Microsoft’un Bulut Güvenliğinden sorumlu başlıca güvenlik sorumlusu Mitch Adair’in dediği gibi: “Olabildiğince kötü olurdu. TLS, temel olarak Microsoft’un kullandığı her bir hizmet ürününün güvenliğini sağlamak için kullanılır.”