(см. «Программирование без ошибок», Computerworld Россия, № 9, 2011). При этом в самой Microsoft создан целый ряд подразделений, отвечающих за различные аспекты информационной безопасности.

Исторически первым из них был центр реагирования на инциденты — Microsoft Security Response Center (MSRC), в задачу которого входит решение проблем безопасности в продуктах корпорации. Потом был сформирован отдел безопасной разработки программного обеспечения; он получил наименование по упомянутой методологии безопасной разработки — Security Development Lifecycle (SDL), поскольку его сотрудники обеспечивают соблюдение методических рекомендаций, начиная с этапа обучения разработчиков и до выпуска исправлений. Созданный при SDL центр инженеров по безопасности Microsoft Security Engineering Center (MSEC) занимается проведением анализа угроз, а также разработкой рекомендаций и политик безопасности. Еще одна структура, центр защиты от вредоносных программ Microsoft Malware Protection Center (MMPC), отвечающая за работу антивирусных продуктов корпорации, сформирована на базе приобретенных Microsoft разработчиков антивирусных технологий.

Первоначально сотрудники MSRC только исправляли ошибки в ПО самой корпорации, но потом в нем появился инженерный отдел, который занялся анализом причин возникновения ошибок и подготовкой рекомендации для собственных разработчиков Microsoft — для уточнения методологии SDL. А со временем был сформирован и «экосистемный» отдел, сотрудники которого общаются с партнерами и независимыми разработчиками для решения проблем безопасности, возникающих в их продуктах. Задача отдела — освоение методологии SDL разработчиками продуктов на платформе Microsoft. Действуя таким образом, в корпорации рассчитывают создать экосистему безопасных вычислений. Все перечисленные выше структуры — MSRC, MMPS, SDL и MSEC составляют группу с общим названием Microsoft Trustworthy Computing.

В России у Microsoft также работают подразделения, специализирующиеся на вопросах безопасности. В частности, «Технический центр безопасности» занимается решением соответствующих проблем российских пользователей. Есть подразделение, осуществляющее взаимодействие с отечественными регуляторами для сертификации продуктов корпорации в соответствии с требованиями российских законов по программе GSP (см. «Microsoft открыла исходники...», Computerworld Россия, № 4, 2003). Кроме того, представители Microsoft Trustworthy Computing стараются помочь местным партнерам создавать безопасные программные продукты на базе технологий Microsoft, уверяя, что даже небольшим компаниям по силам внедрить хотя бы часть процедур, регламентированных методологией безопасной разработки SDL.

В поддержку своего цикла разработки безопасного программного обеспечения Microsoft предлагает разработчикам широкий выбор инструментов, помогающих автоматизировать каждый из семи этапов SDL. На конференции Алекс Лукас, главный менеджер Microsoft по безопасной разработке, представил программу Enhanced Mitigation Experience Toolkit, позволяющую модифицировать исполнимое приложение так, что на него сложно выполнить атаку с переполнением буфера и исполнением вредоносного кода. Конечно, уязвимое приложение аварийно завершит свою работу при открытии файла с эксплойтом, однако вредоносный код при этом выполнен не будет. Кроме того, Лукас представил инструмент Attack Surface Analyzer, который позволяет оценить, насколько устанавливаемая программа увеличивает так называемую «поверхность атаки», то есть какие функциональные возможности приложения могут быть использованы нападающим для проникновения в систему. Поскольку оба этих инструмента не требуют доступа к исходному коду, то они могут быть использованы не только партнерами, но и ИТ-службой любой организации для оценки опасности конкретного приложения (анализатор поверхности атаки) или для защиты от новых эксплойтов.

Поделитесь материалом с коллегами и друзьями