諸如計(jì)算機(jī)安全這樣的復(fù)雜問(wèn)題,從來(lái)沒(méi)有簡(jiǎn)單的答案。黑客攻擊影響范圍甚廣���,小到讓人不快(例如電腦屏幕上永遠(yuǎn)關(guān)不完的彈窗),大到波及全球(比如2021年導(dǎo)致美國(guó)東海岸燃料短缺的勒索軟件攻擊)����,因此很難一勞永逸地解決計(jì)算機(jī)安全問(wèn)題。
諸如計(jì)算機(jī)安全這樣的復(fù)雜問(wèn)題�����,從來(lái)沒(méi)有簡(jiǎn)單的答案��。黑客攻擊影響范圍甚廣�,小到讓人不快(例如電腦屏幕上永遠(yuǎn)關(guān)不完的彈窗),大到波及全球(比如2021年導(dǎo)致美國(guó)東海岸燃料短缺的勒索軟件攻擊)�,因此很難一勞永逸地解決計(jì)算機(jī)安全問(wèn)題。
應(yīng)對(duì)在技術(shù)發(fā)展過(guò)程中日趨重要的安全問(wèn)題�����,應(yīng)該多管齊下���。與許多企業(yè)僅在問(wèn)題發(fā)生后倉(cāng)促修補(bǔ)不同�����,微軟采取全方位安全措施��,由專門團(tuán)隊(duì)從全領(lǐng)域范圍進(jìn)行考量��,致力于消弭漏洞于萌芽之前��,在電腦產(chǎn)生漏洞�����、全球黑客襲擊操控之前消除代碼缺陷����。對(duì)于安全團(tuán)隊(duì)來(lái)說(shuō),安全問(wèn)題不容假設(shè)�����,而是應(yīng)關(guān)注如何解決問(wèn)題�����。
微軟安全部門首席安全軟件工程主管賈斯汀·坎貝爾(Justin Campbell)說(shuō):“這是一場(chǎng)不會(huì)終結(jié)的貓捉老鼠的游戲����。一切都在變化�����。Windows也沒(méi)有停滯不前,不斷會(huì)有新功能�、新想法、新技術(shù)和新程序加入�����。這種變化不單單出現(xiàn)在安全領(lǐng)域����,還影響了軟件構(gòu)建過(guò)程。30年前的代碼和我們今天發(fā)行的新產(chǎn)品同樣都需要考慮安全問(wèn)題��,這可真不是個(gè)小范圍�����?����!?/p>
坎貝爾帶領(lǐng)著一個(gè)由60多名成員組成的微軟攻擊研究與安全工程(MORSE)團(tuán)隊(duì),三管齊下��,全面守護(hù)操作系統(tǒng)代碼安全���。MORSE設(shè)有紅色���、藍(lán)色和綠色三個(gè)團(tuán)隊(duì),各司其職���,積極應(yīng)對(duì)安全威脅��,修復(fù)損壞代碼�,防止問(wèn)題發(fā)生����。
紅藍(lán)綠三個(gè)團(tuán)隊(duì)配合提供多重防護(hù),開(kāi)發(fā)各種新技術(shù)����,包括識(shí)別代碼潛在弱點(diǎn)、針對(duì)最新威脅構(gòu)建新工具����,強(qiáng)化建設(shè)長(zhǎng)短期安全防護(hù)能力�����,裨益各方團(tuán)隊(duì)�����。
許多網(wǎng)絡(luò)安全術(shù)語(yǔ)起源于計(jì)算機(jī)模擬�、視頻游戲���、軍事演習(xí)和實(shí)時(shí)模擬系統(tǒng),許多專家也通過(guò)研究這些領(lǐng)域掌握網(wǎng)絡(luò)安全的要義�����。受此啟發(fā)�,紅隊(duì)負(fù)責(zé)分析現(xiàn)實(shí)攻擊策略確定攻擊路徑;藍(lán)隊(duì)則試圖抵御這些攻擊����,并防止紅隊(duì)突破現(xiàn)有防御。幫助緩解高風(fēng)險(xiǎn)����、系統(tǒng)性的安全問(wèn)題�����,并通過(guò)從紅色和藍(lán)色團(tuán)隊(duì)中吸取經(jīng)驗(yàn)和工具��,大規(guī)模地修復(fù)這些問(wèn)題����。
行業(yè)內(nèi)其他安全團(tuán)隊(duì)主要關(guān)注的是紅隊(duì)所負(fù)責(zé)的安全問(wèn)題�,但MORSE是三個(gè)團(tuán)隊(duì)強(qiáng)強(qiáng)聯(lián)合,持續(xù)工作��,在攻擊者之前發(fā)現(xiàn)漏洞并予以修復(fù)����。
我們不只是負(fù)責(zé)尋找漏洞的紅隊(duì)。我們不會(huì)被動(dòng)等待別人告訴我們漏洞的存在�����。我們的小組在自給自足方面取得了適當(dāng)?shù)钠胶?��,可以發(fā)現(xiàn)問(wèn)題��,做出反應(yīng)�����,然后在產(chǎn)品上進(jìn)行投資���。這不僅僅是傳統(tǒng)的錯(cuò)誤搜索��。
賈斯汀·坎貝爾
微軟安全部門首席安全軟件工程主管
更重要的是�,MORSE并沒(méi)有狹隘地僅將識(shí)別成果為微軟自己所用����。該安全社區(qū)致力于分享研究和成果,為每個(gè)人提供更好的產(chǎn)品�����。
“我們的目標(biāo)是讓每個(gè)人都能寫出更安全的代碼�,”Campbell說(shuō)���。
微軟解決傳輸層安全性協(xié)議(TLS)1.3版本問(wèn)題的案例�,就很好體現(xiàn)了該團(tuán)隊(duì)的工作方式和在預(yù)防損害方面所起的作用���。TLS協(xié)議保障不受信任網(wǎng)絡(luò)能夠進(jìn)行安全通信����,用于各種應(yīng)用程序,在HTTPS網(wǎng)站地址的安全層中的應(yīng)用最為重要���。安全審查此前尚未內(nèi)嵌至軟件開(kāi)發(fā)生命周期之內(nèi)��,MORSE團(tuán)隊(duì)重新分析該期間的舊代碼��,在協(xié)議發(fā)布之前審查更新版協(xié)議����,識(shí)別出一個(gè)可使黑客控制用戶主機(jī)的遠(yuǎn)程代碼執(zhí)行漏洞����。
微軟云安全首席安全主管米奇·阿代爾(Mitch Adair)說(shuō):“后果不堪設(shè)想。TLS幾乎用于保護(hù)微軟使用的每一款服務(wù)產(chǎn)品����。好在審查代碼過(guò)程中,我們發(fā)現(xiàn)并成功修復(fù)了這個(gè)問(wèn)題��?�!?/p>
微軟還讓開(kāi)發(fā)人員投身保障代碼安全工作中,推出了用于Azure的測(cè)試框架OneFuzz���。模糊測(cè)試可以非常有效地提高本地代碼的安全性和可靠性����。模糊測(cè)試不局限于開(kāi)發(fā)人員發(fā)現(xiàn)和修復(fù)已知錯(cuò)誤的傳統(tǒng)靜態(tài)測(cè)試�����,可以為隨機(jī)事件創(chuàng)建反饋循環(huán)����,增加發(fā)現(xiàn)不可預(yù)見(jiàn)性錯(cuò)誤的機(jī)會(huì)。
數(shù)字化工具更直觀����、更迅速印證理論概念
傳統(tǒng)上,模糊測(cè)試在軟件開(kāi)發(fā)生命周期中讓人又愛(ài)又恨——開(kāi)發(fā)人員必須進(jìn)行模糊測(cè)試���,但想執(zhí)行有效的模糊測(cè)試過(guò)程很復(fù)雜。OneFuzz將漏洞識(shí)別提前至開(kāi)發(fā)生命周期早期�����,發(fā)揮了安全工程團(tuán)隊(duì)的能動(dòng)性��,使安全工程團(tuán)隊(duì)能夠主動(dòng)采取行動(dòng)。另外�����,MORSE團(tuán)隊(duì)能使內(nèi)部程序工具運(yùn)作更快�,助力OneFuzz運(yùn)行更多測(cè)試,也能體現(xiàn)MORSE團(tuán)隊(duì)提升安全防護(hù)能力的全面性�。
我們致力于幫助開(kāi)發(fā)者做正確的事,幫助他們改善工作成果�����。OneFuzz能幫助他們自己找到漏洞�。
賈斯汀·坎貝爾
微軟安全部門首席安全軟件工程主管
所以,一定要想黑客之所想才能對(duì)付黑客嗎����?MORSE團(tuán)隊(duì)在選任成員時(shí)注重技能和心態(tài),要能應(yīng)對(duì)風(fēng)云變幻的網(wǎng)絡(luò)安全環(huán)境提出的日常挑戰(zhàn)�����。團(tuán)隊(duì)成員背景多元��,這種背景多樣性有利于在處理和解決安全問(wèn)題時(shí)采取不同方法。
安全軟件工程師拓實(shí)·皮阿扎(Toshi Piazza)感覺(jué)他在微軟的工作自然延續(xù)了其在倫斯勒理工學(xué)院(Rensselaer Polytechnic Institute)養(yǎng)成的興趣��。在學(xué)校里�����,他是倫斯勒理工學(xué)院安全團(tuán)隊(duì)的成員�,參加了“奪旗”黑客比賽。
皮阿扎說(shuō):“我們團(tuán)隊(duì)成員的想法并不相同�����,但我認(rèn)為大家都具有與生俱來(lái)的好奇心��。我們已經(jīng)將這種心態(tài)滲透到了我們的日常工作中��。我們像個(gè)黑客一樣���,著手解決具體問(wèn)題��。這并不壞�����。其實(shí)我覺(jué)得這非常有趣。”
小小一個(gè)錯(cuò)誤就可能影響全球數(shù)百萬(wàn)用戶����,MORSE的成員表示,應(yīng)對(duì)挑戰(zhàn)���,服務(wù)客戶讓他們覺(jué)得自己是值得的�����。
阿代爾(Adair)說(shuō):“能夠從事這個(gè)行業(yè)工作�,參加奪旗活動(dòng)和錦標(biāo)賽的人都具有超強(qiáng)的分析能力��,擅長(zhǎng)多回合博弈�。邁出第一步就像‘嬰兒的第一次冒險(xiǎn)’,我該怎么才能過(guò)這一關(guān)�?10分鐘還是3天?然后碰到的事情越來(lái)越難——解決過(guò)去20-30年里網(wǎng)絡(luò)安全工作人員一直想要抵御的風(fēng)險(xiǎn)�。背后是不斷學(xué)習(xí),探索令人興奮事物的渴望�。”
如果MORSE團(tuán)隊(duì)恰恰因?yàn)橄粢恍撛跒?zāi)難性問(wèn)題于無(wú)形��,而沒(méi)能獲得其應(yīng)得的榮譽(yù)呢����?這其實(shí)早已在他們的預(yù)料之中���。皮阿扎說(shuō)道:“我們的功績(jī)并不為人所共知,但默默無(wú)聞恰恰就是對(duì)我們工作成績(jī)的肯定����,這正是我們想要的?!?/p>
立即登錄,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
