Microsoft lanza herramientas de seguridad interna, métodos

Microsoft pronto lanzará herramientas y métodos que ha utilizado en los últimos años para reducir la cantidad de problemas de seguridad en su software.

Microsoft comenzó a tomarse la seguridad en serio en 2001. Los problemas de codificación en su software abrieron la puerta a una nueva ola intensa de gusanos maliciosos, o programas autopropagadores que colapsaron los servidores de correo electrónico, crearon botnets y robaron contraseñas de los usuarios, causando daños costosos a las empresas.

En respuesta, Bill Gates lanzó la Iniciativa de Computación Fidedigna a principios de 2002. Dos años más tarde, la empresa había refinado lo que llama el ciclo de vida de desarrollo de seguridad (SDL) o sus procesos para garantizar que escriba código casi a prueba de balas.

El uso del SDL ha reducido el número de vulnerarab de seguridad en su sistema operativo Windows Vista y SQL Server, uno de sus programas de base de datos, en comparación con versiones anteriores del software, dijo Steve Lipner, director sénior de estrategia de ingeniería de seguridad para Trustworthy Computing Group de Microsoft.

Extender el SDL a ISV (proveedores independientes de software) y otros desarrolladores para empresas, como los bancos, refuerzan la confianza en Microsoft y el software diseñado para Windows, dijo Lipner.

"Si alguien está usando una aplicación de terceros en la plataforma de Microsoft, todavía son un Microsoft cliente ", dijo Lipner. "Queremos que su experiencia informática sea segura".

Dos de las herramientas son gratuitas. El modelo de optimización SDL es un cuestionario y una lista de verificación que evalúa las prácticas de desarrollo de seguridad de una organización. Analiza cómo responde una empresa a las nuevas alertas y parches de seguridad, y cuestiones como la capacitación y el modelado de amenazas.

Microsoft ofrecerá el SDL Optimization Model para su descarga en su página web de SDL en noviembre.

"Creemos que es va a ser un gran recurso para las personas que quieren ingresar al SDL y necesitan averiguar cómo comienzan ", dijo Lipner.

El otro programa gratuito es una aplicación llamada SDL Threat Modeling Tool 3.0, que ayudará al software arquitectos que no están familiarizados con la seguridad para detectar posibles problemas de seguridad en el software que están diseñando.

"Si eres un desarrollador, contar cosas como 'pensar como un atacante' no ayuda", dijo Adam Shostack, gerente de programa senior para el equipo de Security Development Lifecycle.

La aplicación permite a los arquitectos de software diagramar aspectos como los flujos de datos. Microsoft ha codificado las reglas del programa que los ingenieros de seguridad seguirían cuando trabajaran con el software. Los usuarios de Threat Modeling Tool obtienen una respuesta instantánea, dijo Shostack. Microsoft colocará la herramienta en su centro de descargas de Microsoft Developer Network en noviembre.

El último componente es la formación de un grupo de empresas que pueden asesorar a otras compañías en el SDL. La red SDL Pro es un grupo de nueve proveedores de servicios de seguridad, consultorías y empresas de capacitación.

La red puede asesorar a los ISV y las empresas sobre las formas de probar su propio software desarrollado internamente para problemas de codificación. La red SDL Pro comenzará una fase piloto en noviembre, dijo Lipner. A esas compañías se les pagará mediante una tarifa de consultoría clásica o una factura por un servicio de suscripción, dijo Lipner.

"Creemos que serán un gran recurso para las organizaciones externas a Microsoft que quieran avanzar con el SDL. ", Dijo Lipner.

La mayoría del software de Windows de terceros no está escrito utilizando prácticas de seguridad de última generación, dijo Jan Muenther, [cq] CTO con miembros de la red SDL Pro. "Si bien los propios Microsoft han estado esforzándose mucho para obtener su propio código, a veces el código que obtienen de terceros no coincide con el mismo nivel de calidad", dijo.

Muenther cree que estos nuevos programas SDL no podrían solo aumenta la calidad del código de socios de Microsoft, pero también podría llamar la atención sobre las prácticas de seguridad de Microsoft. "Quieren difundir un poco la palabra", dijo.

Robert McMillan en San Francisco contribuyó a esta historia.