Das Microsoft-Team wetteifert, um Fehler zu fangen, bevor sie
auftreten
Das Microsoft-Team wetteifert, um Fehler zu
fangen, bevor sie auftreten Wie ist es, für die digitale Sicherheit einer
Milliarde Menschen verantwortlich zu sein? Fragen Sie einfach die
Morseforscher des Unternehmens. Microsoft-Logo FOTO: 360B/ALAMY
ALS EILE der Cyberkriminellen, staatlich
unterstützten Hacker und Betrüger überschwemmen die Zone weiterhin mit
digitalen Angriffen und aggressiven Kampagnen weltweit, es ist keine
Überraschung, dass sich der Hersteller des allgegenwärtigen
Windows-Betriebssystems auf die Sicherheitsverteidigung konzentriert.
Microsofts Patch Tuesday Update-Releases enthalten häufig Korrekturen
für kritische Schwachstellen, einschließlich derer, die aktiv von
Angreifern auf der ganzen Welt ausgenutzt werden.
Das Unternehmen verfügt bereits über die
erforderlichen Gruppen, um nach Schwachstellen in seinem Code zu suchen
(das "rote Team") und Abschwächungen zu entwickeln (das "blaue Team").
Aber in letzter Zeit hat sich dieses Format wieder weiterentwickelt, um
mehr Zusammenarbeit und interdisziplinäre Arbeit zu fördern, in der
Hoffnung, noch mehr Fehler und Mängel zu erkennen, bevor die Dinge
anfangen, sich zu drehen. Bekannt als Microsoft Offensive Research &
Security Engineering oder Morse, kombiniert die Abteilung das rote Team,
das blaue Team und das sogenannte grüne Team, das sich darauf
konzentriert, Fehler zu finden oder Schwächen zu nehmen, die das rote
Team gefunden hat, und sie durch Änderungen der Art und Weise, wie Dinge
innerhalb einer Organisation erledigt werden, systematischer zu beheben.
"Die Leute sind überzeugt, dass man nicht
vorankommen kann, ohne in Sicherheit zu investieren", sagt David Weston,
Microsofts Vice President of Enterprise and Operating System Security,
der seit 10 Jahren im Unternehmen ist. "Ich bin schon sehr lange in der
Sicherheit. Den größten Teil meiner Karriere galten wir als nervig.
Jetzt, wenn überhaupt, kommen Führer zu mir und sagen: 'Dave, geht es
mir gut? Haben wir alles getan, was wir konnten?" Das war eine
bedeutende Veränderung."
Morse hat daran gearbeitet, sichere
Programmierpraktiken bei Microsoft zu fördern, damit weniger Fehler in
der Software des Unternehmens landen. OneFuzz, ein
Open-Source-Azure-Testframework, ermöglicht es Microsoft-Entwicklern,
ihren Code ständig automatisch mit allen möglichen ungewöhnlichen
Anwendungsfällen zu bewerfen, um Fehler aufzuspüren, die nicht auffallen
würden, wenn die Software nur genau wie beabsichtigt verwendet würde.
Das kombinierte Team war auch an vorderster
Front dabei, die Verwendung sichererer Programmiersprachen (wie Rust) im
gesamten Unternehmen zu fördern. Und sie haben sich dafür ausgesprochen,
Sicherheitsanalyse-Tools direkt in den realen Software-Compiler
einzubetten, der im Produktionsworkflow des Unternehmens verwendet wird.
Diese Änderung war wirkungsvoll, sagt Weston, weil es bedeutet, dass
Entwickler keine hypothetische Analyse in einer simulierten Umgebung
durchführen, in der einige Fehler in einem Schritt von der realen
Produktion entfernt übersehen werden könnten.
Das Morse-Team sagt, dass die Verlagerung hin
zu proaktiver Sicherheit zu echten Fortschritten geführt hat. In einem
aktuellen Beispiel überprüften Morse-Mitglieder historische Software -
ein wichtiger Teil der Arbeit der Gruppe, da so viel von der
Windows-Codebasis vor diesen erweiterten Sicherheitsüberprüfungen
entwickelt wurde. Bei der Untersuchung, wie Microsoft Transport Layer
Security 1.3 implementiert hatte, das grundlegende kryptografische
Protokoll, das in Netzwerken wie dem Internet für eine sichere
Kommunikation verwendet wird, entdeckte Morse einen remote ausnutzbaren
Fehler, der es Angreifern ermöglicht hätte, auf die Geräte von Zielen
zuzugreifen.
Eine lila und eine blaue Plastikkugel, die in
den Spulen eines mehrfarbigen Slinky vor zweifarbigem violettem
Hintergrund steckt GESCHÄFT Hüten Sie sich vor der Vertragsklausel, die
US-Arbeiter mit Schulden belastet CAITLIN HARRINGTON
Wie Mitch Adair, Microsofts Principal
Security Lead für Cloud Security, es ausdrückte: "Es wäre so schlimm
gewesen, wie es nur geht. TLS wird verwendet, um im Grunde jedes
einzelne Serviceprodukt zu sichern, das Microsoft verwendet."
Die Einsätze sind unbeschreiblich hoch, wenn
es Ihre Aufgabe ist, Fehler zu erkennen, bevor es jemand anderes in
einem Produkt tut, das von mehr als einer Milliarde Menschen auf der
ganzen Welt verwendet wird. Alles, was Sie durchgehen lassen, könnte in
der nächsten globalen Cybersicherheitskrise eine Rolle spielen. Aber
Weston sagt, dass das Morse-Team sich selbst für Leute auswählt, die
diese Realität als treibende Motivation und nicht als lähmendes Gespenst
betrachten.
"Dies ist ein Spiel von Zoll; Sie können in
99,9 Prozent der Fälle erstaunlich sein und den falschen Code zur
falschen Zeit einführen, und das kann schlimme Folgen haben ", sagt
Weston. "Wenn du den ganzen Tag auf der Spitze eines hohen Gebäudes
arbeitest, bemerkst du es nicht einmal. Aber eines Tages könntest du
nach unten schauen und sagen: 'Wow, ich bin ziemlich hoch oben hier, das
ist beängstigend.' Aber es gibt nur ein paar Orte, an denen man Dinge in
einem Milliardenmaßstab tun kann, also ist das Schöne, dass wir selten
jemanden haben, der das nicht aufregend und nicht beängstigend findet."
Vielleicht am wichtigsten ist, dass Weston
sagt, dass der Kompromiss für das Leben mit Microsofts Größe und der
damit verbundenen Verantwortung darin besteht, dass alles im Unternehmen
auf eine Weise möglich ist, die nur bei einer kleinen Handvoll der
größten Tech-Giganten der Fall ist.
"In einigen Unternehmen ist es so, dass wir
eine Webanwendung erstellen, wir sind irgendwie auf die Tools
beschränkt, die wir haben, oder auf das Know-how im Unternehmen", sagt
er. "Bei Microsoft haben wir alles von Silizium über Compiler bis hin
zum Betriebssystem. Du hast nicht wirklich gute Ausreden dafür, warum du
etwas nicht tun kannst."
Für das Morse-Team bedeutet dies jedoch, dass
es keinen Raum gibt, diese seltene Position zu verschwenden.