ラッシュとして . Microsoft の Patch Tuesday アップデート リリースには、重大な脆弱性に対する修正が頻繁に含まれています。 積極的に搾取されている 世界中の攻撃者によって。
同社には、コードの弱点を探し (「レッド チーム」)、緩和策を開発する (「ブルー チーム」) ために必要なグループが既にあります。 Microsoft Offensive Research & Security Engineering、または モールス、部門は、レッドチーム、ブルーチーム、およびいわゆるグリーンチームを組み合わせます。グリーンチームは、組織内でのやり方を変更することで、レッドチームが見つけた欠陥を見つけたり、弱点を見つけたり、より体系的に修正したりすることに焦点を当てています。
「人々は、セキュリティに投資せずに前に進むことはできないと確信しています」と、Microsoft のエンタープライズおよびオペレーティング システム セキュリティ担当バイス プレジデントで、同社に 10 年間勤務している David Weston は言います。 「私は非常に長い間警備に携わってきました。 私のキャリアのほとんどの間、私たちは面倒くさいと考えられていました。 今ではどちらかといえば、リーダーが私のところに来て、「デイブ、私は大丈夫ですか?」と言っています。 私たちはできる限りのことをしましたか? それは重要な変化でした。」
Morse 氏は、マイクロソフト全体で安全なコーディング プラクティスを促進するために取り組んできました。 オープンソースの Azure テスト フレームワークである OneFuzz を使用すると、Microsoft の開発者は、ソフトウェアが意図したとおりに使用されているだけであれば目立たない欠陥を見つけ出すために、あらゆる種類の異常なユース ケースをコードに常に自動的に投入できます。
統合されたチームは、会社全体でより安全なプログラミング言語 (Rust など) の使用を促進する最前線にも立っています。 また、会社の生産ワークフローで使用される実際のソフトウェア コンパイラにセキュリティ分析ツールを直接埋め込むことも提唱しています。 Weston 氏によると、この変更は影響力が大きいとのことです。これは、開発者がシミュレーション環境で仮説的な分析を行っていないことを意味するためです。このような環境では、実際の運用環境から離れた段階で一部のバグが見落とされる可能性があります。
Morse チームは、プロアクティブなセキュリティへの移行が真の進歩につながったと述べています。 最近の例では、Morse のメンバーは歴史的なソフトウェアを精査していました。これは、このグループの仕事の重要な部分です。なぜなら、Windows コードベースの多くは、これらの拡張されたセキュリティ レビューの前に開発されたからです。 マイクロソフトがトランスポート レイヤー セキュリティ 1.3 をどのように実装したかを調査しているときに、モース氏は、攻撃者がターゲットのデバイスにアクセスできるようにする可能性があるリモートで悪用可能なバグを発見しました。
マイクロソフトのクラウド セキュリティ担当プリンシパル セキュリティ リードである Mitch Adair として、 それを置く: 「それは最悪の事態でした。Microsoft が使用する基本的にすべてのサービス製品を保護するために TLS が使用されています。」