谁才是Windows真正的安全卫士?

诸如计算机安全这样的复杂问题，从来没有简单的答案。黑客攻击影响范围甚广，小到让人不快（例如电脑屏幕上永远关不完的弹窗)，大到波及全球（比如2021年导致美国东海岸燃料短缺的勒索软件攻击），因此很难一劳永逸地解决计算机安全问题。

应对在技术发展过程中日趋重要的安全问题，应该多管齐下。与许多企业仅在问题发生后仓促修补不同，微软采取全方位安全措施，由专门团队从全领域范围进行考量，致力于消弭漏洞于萌芽之前，在电脑产生漏洞、全球黑客袭击操控之前消除代码缺陷。对于安全团队来说，安全问题不容假设，而是应关注如何解决问题。

微软安全部门首席安全软件工程主管贾斯汀·坎贝尔（Justin Campbell）说：“这是一场不会终结的猫捉老鼠的游戏。一切都在变化。Windows也没有停滞不前，不断会有新功能、新想法、新技术和新程序加入。这种变化不单单出现在安全领域，还影响了软件构建过程。30年前的代码和我们今天发行的新产品同样都需要考虑安全问题，这可真不是个小范围。”

坎贝尔带领着一个由60多名成员组成的微软攻击研究与安全工程（MORSE）团队，三管齐下，全面守护操作系统代码安全。MORSE设有红色、蓝色和绿色三个团队，各司其职，积极应对安全威胁，修复损坏代码，防止问题发生。

红蓝绿三个团队配合提供多重防护，开发各种新技术，包括识别代码潜在弱点、针对最新威胁构建新工具，强化建设长短期安全防护能力，裨益各方团队。

 

许多网络安全术语起源于计算机模拟、视频游戏、军事演习和实时模拟系统，许多专家也通过研究这些领域掌握网络安全的要义。受此启发，红队负责分析现实攻击策略确定攻击路径；蓝队则试图抵御这些攻击，并防止红队突破现有防御。帮助缓解高风险、系统性的安全问题，并通过从红色和蓝色团队中吸取经验和工具，大规模地修复这些问题。

行业内其他安全团队主要关注的是红队所负责的安全问题，但MORSE是三个团队强强联合，持续工作，在攻击者之前发现漏洞并予以修复。

我们不只是负责寻找漏洞的红队。我们不会被动等待别人告诉我们漏洞的存在。我们的小组在自给自足方面取得了适当的平衡，可以发现问题，做出反应，然后在产品上进行投资。这不仅仅是传统的错误搜索。

贾斯汀·坎贝尔

微软安全部门首席安全软件工程主管

更重要的是，MORSE并没有狭隘地仅将识别成果为微软自己所用。该安全社区致力于分享研究和成果，为每个人提供更好的产品。

“我们的目标是让每个人都能写出更安全的代码，”Campbell说。

微软解决传输层安全性协议（TLS）1.3版本问题的案例，就很好体现了该团队的工作方式和在预防损害方面所起的作用。TLS协议保障不受信任网络能够进行安全通信，用于各种应用程序，在HTTPS网站地址的安全层中的应用最为重要。安全审查此前尚未内嵌至软件开发生命周期之内， MORSE团队重新分析该期间的旧代码，在协议发布之前审查更新版协议，识别出一个可使黑客控制用户主机的远程代码执行漏洞。

 

微软云安全首席安全主管米奇·阿代尔（Mitch Adair）说：“后果不堪设想。TLS几乎用于保护微软使用的每一款服务产品。好在审查代码过程中，我们发现并成功修复了这个问题。”

微软还让开发人员投身保障代码安全工作中，推出了用于Azure的测试框架OneFuzz。模糊测试可以非常有效地提高本地代码的安全性和可靠性。模糊测试不局限于开发人员发现和修复已知错误的传统静态测试，可以为随机事件创建反馈循环，增加发现不可预见性错误的机会。

 

数字化工具更直观、更迅速印证理论概念

传统上，模糊测试在软件开发生命周期中让人又爱又恨——开发人员必须进行模糊测试，但想执行有效的模糊测试过程很复杂。OneFuzz将漏洞识别提前至开发生命周期早期，发挥了安全工程团队的能动性，使安全工程团队能够主动采取行动。另外，MORSE团队能使内部程序工具运作更快，助力OneFuzz运行更多测试，也能体现MORSE团队提升安全防护能力的全面性。

我们致力于帮助开发者做正确的事，帮助他们改善工作成果。OneFuzz能帮助他们自己找到漏洞。

贾斯汀·坎贝尔

微软安全部门首席安全软件工程主管

所以，一定要想黑客之所想才能对付黑客吗？MORSE团队在选任成员时注重技能和心态，要能应对风云变幻的网络安全环境提出的日常挑战。团队成员背景多元，这种背景多样性有利于在处理和解决安全问题时采取不同方法。

安全软件工程师拓实·皮阿扎（Toshi Piazza）感觉他在微软的工作自然延续了其在伦斯勒理工学院（Rensselaer Polytechnic Institute）养成的兴趣。在学校里，他是伦斯勒理工学院安全团队的成员，参加了“夺旗”黑客比赛。

皮阿扎说：“我们团队成员的想法并不相同，但我认为大家都具有与生俱来的好奇心。我们已经将这种心态渗透到了我们的日常工作中。我们像个黑客一样，着手解决具体问题。这并不坏。其实我觉得这非常有趣。”

小小一个错误就可能影响全球数百万用户， MORSE的成员表示，应对挑战，服务客户让他们觉得自己是值得的。

阿代尔（Adair）说：“能够从事这个行业工作，参加夺旗活动和锦标赛的人都具有超强的分析能力，擅长多回合博弈。迈出第一步就像‘婴儿的第一次冒险’，我该怎么才能过这一关？10分钟还是3天？然后碰到的事情越来越难——解决过去20-30年里网络安全工作人员一直想要抵御的风险。背后是不断学习，探索令人兴奋事物的渴望。”

如果MORSE团队恰恰因为消弭一些潜在灾难性问题于无形，而没能获得其应得的荣誉呢？这其实早已在他们的预料之中。皮阿扎说道：“我们的功绩并不为人所共知，但默默无闻恰恰就是对我们工作成绩的肯定，这正是我们想要的。”