como un apuro de ciberdelincuentes, piratas informáticos respaldados por el estado y estafadores continúan inundando la zona con ataques digitales y campañas agresivas en todo el mundo, no sorprende que el fabricante del omnipresente sistema operativo Windows se centre en la defensa de la seguridad. Las versiones de actualización del martes de parches de Microsoft contienen con frecuencia correcciones para vulnerabilidades críticas, incluidas aquellas que están siendo explotadas activamente por atacantes en todo el mundo.
La empresa ya cuenta con los grupos necesarios para buscar debilidades en su código (el «equipo rojo») y desarrollar mitigaciones (el «equipo azul»). Pero recientemente, ese formato evolucionó nuevamente para promover una mayor colaboración y trabajo interdisciplinario con la esperanza de detectando aún más errores y fallas antes de que las cosas comiencen a torcerse.Conocido como Microsoft Offensive Research & Security Engineering, o Morse, el departamento combina el equipo rojo, el equipo azul y el llamado equipo verde, que se enfoca en encontrar fallas o tomar debilidades al instante. equipo rojo ha encontrado y solucionarlos de manera más sistémica a través de cambios en la forma en que se hacen las cosas dentro de una organización.
“La gente está convencida de que no se puede avanzar sin invertir en seguridad”, dice David Weston, vicepresidente de seguridad empresarial y del sistema operativo de Microsoft, que lleva 10 años en la empresa. “He estado en seguridad durante mucho tiempo. Durante la mayor parte de mi carrera, se nos consideró molestos. Ahora, en todo caso, los líderes vienen a mí y me dicen: ‘Dave, ¿estoy bien? ¿Hemos hecho todo lo posible? Ese ha sido un cambio significativo”.
Morse ha estado trabajando para promover prácticas de codificación seguras en todo Microsoft para que menos errores terminen en el software de la empresa en primer lugar. OneFuzz, un marco de prueba de Azure de código abierto, permite a los desarrolladores de Microsoft estar constantemente, lanzando automáticamente su código con todo tipo de casos de uso inusuales para descubrir fallas que no se notarían si el software solo se usara exactamente como se pretendía.
El equipo combinado también ha estado a la vanguardia de la promoción del uso de lenguajes de programación más seguros (como Rust) en toda la empresa. Y han abogado por incorporar herramientas de análisis de seguridad directamente en el compilador de software real utilizado en el flujo de trabajo de producción de la empresa. Ese cambio ha sido impactante, dice Weston, porque significa que los desarrolladores no están haciendo un análisis hipotético en un entorno simulado donde algunos errores podrían pasarse por alto en un paso alejado de la producción real.
El equipo de Morse dice que el cambio hacia la seguridad proactiva ha llevado a un progreso real. En un ejemplo reciente, los miembros de Morse estaban examinando software histórico, una parte importante del trabajo del grupo, ya que gran parte del código base de Windows se desarrolló antes de estas revisiones de seguridad ampliadas. Mientras examinaba cómo Microsoft había implementado Transport Layer Security 1.3, el protocolo criptográfico fundamental utilizado en redes como Internet para una comunicación segura, Morse descubrió un error explotable de forma remota que podría haber permitido a los atacantes acceder a los dispositivos de los objetivos.
Como Mitch Adair, principal líder de seguridad de Microsoft para Cloud Security, lo expresó: “Habría sido tan malo como parece. TLS se usa para asegurar básicamente todos los productos de servicio que usa Microsoft”.