como un apuro Con ciberdelincuentes, piratas informáticos patrocinados por el estado y estafadores que continúan inundando la zona con ataques digitales y campañas agresivas en todo el mundo, no sorprende que el fabricante del omnipresente sistema operativo Windows se concentre en defender la seguridad. Los lanzamientos de Patchday Update de Microsoft a menudo contienen correcciones para vulnerabilidades de seguridad críticas, incluidas aquellas explotadas activamente por atacantes de todo el mundo.
La organización ya cuenta con los grupos necesarios para buscar vulnerabilidades en su código (el «equipo rojo») y desarrollar mitigaciones (el «equipo azul»). Sin embargo, más recientemente, este formato ha evolucionado nuevamente para alentar una mayor colaboración y trabajo interdisciplinario con la esperanza de encontrar aún más fallas y vulnerabilidades antes de que se dispare. Conocido como Microsoft Offensive Research & Security Engineering o Morse, el departamento reúne al equipo rojo, el equipo azul y lo que se conoce como el equipo verde, que se enfoca en encontrar errores o corregir las debilidades que encontró el equipo rojo y corregirlas de manera más sistemática mediante el uso de Ha realizado cambios en la forma de trabajar dentro de una organización.
«La gente está convencida de que no se puede avanzar sin invertir en seguridad», dijo David Weston, vicepresidente de seguridad empresarial y del sistema operativo de Microsoft, que ha estado en la empresa durante 10 años. «He estado en seguridad durante mucho tiempo. Durante la mayor parte de mi carrera, se nos consideró una molestia. Ahora, si los hay, los ejecutivos se me acercan y me dicen: “Dave, ¿estoy bien? ¿Hemos hecho todo lo posible? Ese fue un cambio significativo”.
Morse ha trabajado para fomentar prácticas de codificación seguras en Microsoft para que menos errores terminen en el software de la empresa. OneFuzz, un marco de prueba de Azure de código abierto, permite a los desarrolladores de Microsoft inundar su código de manera constante y automática con todo tipo de casos de uso inusuales para encontrar errores que no se detectarían si el software se usara exactamente como se pretende.
El equipo combinado también ha sido líder en la promoción del uso de lenguajes de programación más seguros (como Rust) en toda la empresa. Y han abogado por incorporar herramientas de análisis de seguridad directamente en el compilador de software real utilizado en el flujo de producción de la empresa. Este cambio fue efectivo, dice Weston, porque significa que los desarrolladores no están ejecutando análisis hipotéticos en un entorno simulado donde algunos errores podrían pasarse por alto a un paso de la producción real.
El equipo de Morse dice que el paso a la seguridad proactiva ha resultado en un progreso real. En un ejemplo reciente, los miembros de Morse revisaron el software histórico, una parte importante del trabajo del grupo, ya que gran parte del código base de Windows se desarrolló antes de estas revisiones de seguridad extendidas. Mientras investigaba cómo Microsoft había implementado Transport Layer Security 1.3, el protocolo criptográfico básico utilizado para comunicaciones seguras en redes como Internet, Morse descubrió una falla explotable de forma remota que podría haber permitido a los atacantes obtener acceso a los dispositivos de la persona objetivo de acceso.
Como Mitch Adair, director de seguridad de Microsoft para la seguridad en la nube, lo expresó: «Sería tan malo como parece. TLS se usa para asegurar básicamente todos los productos de servicio que usa Microsoft”.
