諸如計算機安全這樣的復雜問題，從來沒有簡單的答案。黑客攻擊影響范圍甚廣，小到讓人不快（例如電腦屏幕上永遠關不完的彈窗)，大到波及全球（比如2021年導致美國東海岸燃料短缺的勒索軟件攻擊），因此很難一勞永逸地解決計算機安全問題。

應對在技術發展過程中日趨重要的安全問題，應該多管齊下。與許多企業僅在問題發生后倉促修補不同，微軟采取全方位安全措施，由專門團隊從全領域范圍進行考量，致力于消弭漏洞于萌芽之前，在電腦產生漏洞、全球黑客襲擊操控之前消除代碼缺陷。對于安全團隊來說，安全問題不容假設，而是應關注如何解決問題。

微軟安全部門首席安全軟件工程主管賈斯汀·坎貝爾（Justin Campbell）說：“這是一場不會終結的貓捉老鼠的游戲。一切都在變化。Windows也沒有停滯不前，不斷會有新功能、新想法、新技術和新程序加入。這種變化不單單出現在安全領域，還影響了軟件構建過程。30年前的代碼和我們今天發行的新產品同樣都需要考慮安全問題，這可真不是個小范圍。”

坎貝爾帶領著一個由60多名成員組成的微軟攻擊研究與安全工程（MORSE）團隊，三管齊下，全面守護操作系統代碼安全。MORSE設有紅色、藍色和綠色三個團隊，各司其職，積極應對安全威脅，修復損壞代碼，防止問題發生。

紅藍綠三個團隊配合提供多重防護，開發各種新技術，包括識別代碼潛在弱點、針對最新威脅構建新工具，強化建設長短期安全防護能力，裨益各方團隊。

許多網絡安全術語起源于計算機模擬、視頻游戲、軍事演習和實時模擬系統，許多專家也通過研究這些領域掌握網絡安全的要義。受此啟發，紅隊負責分析現實攻擊策略確定攻擊路徑；藍隊則試圖抵御這些攻擊，并防止紅隊突破現有防御。幫助緩解高風險、系統性的安全問題，并通過從紅色和藍色團隊中吸取經驗和工具，大規模地修復這些問題。

行業內其他安全團隊主要關注的是紅隊所負責的安全問題，但MORSE是三個團隊強強聯合，持續工作，在攻擊者之前發現漏洞并予以修復。

我們不只是負責尋找漏洞的紅隊。我們不會被動等待別人告訴我們漏洞的存在。我們的小組在自給自足方面取得了適當的平衡，可以發現問題，做出反應，然后在產品上進行投資。這不僅僅是傳統的錯誤搜索。

賈斯汀·坎貝爾

微軟安全部門首席安全軟件工程主管

更重要的是，MORSE并沒有狹隘地僅將識別成果為微軟自己所用。該安全社區致力于分享研究和成果，為每個人提供更好的產品。

“我們的目標是讓每個人都能寫出更安全的代碼，”Campbell說。

微軟解決傳輸層安全性協議（TLS）1.3版本問題的案例，就很好體現了該團隊的工作方式和在預防損害方面所起的作用。TLS協議保障不受信任網絡能夠進行安全通信，用于各種應用程序，在HTTPS網站地址的安全層中的應用最為重要。安全審查此前尚未內嵌至軟件開發生命周期之內， MORSE團隊重新分析該期間的舊代碼，在協議發布之前審查更新版協議，識別出一個可使黑客控制用戶主機的遠程代碼執行漏洞。

微軟云安全首席安全主管米奇·阿代爾（Mitch Adair）說：“后果不堪設想。TLS幾乎用于保護微軟使用的每一款服務產品。好在審查代碼過程中，我們發現并成功修復了這個問題。”

微軟還讓開發人員投身保障代碼安全工作中，推出了用于Azure的測試框架OneFuzz。模糊測試可以非常有效地提高本地代碼的安全性和可靠性。模糊測試不局限于開發人員發現和修復已知錯誤的傳統靜態測試，可以為隨機事件創建反饋循環，增加發現不可預見性錯誤的機會。

數字化工具更直觀、更迅速印證理論概念

傳統上，模糊測試在軟件開發生命周期中讓人又愛又恨——開發人員必須進行模糊測試，但想執行有效的模糊測試過程很復雜。OneFuzz將漏洞識別提前至開發生命周期早期，發揮了安全工程團隊的能動性，使安全工程團隊能夠主動采取行動。另外，MORSE團隊能使內部程序工具運作更快，助力OneFuzz運行更多測試，也能體現MORSE團隊提升安全防護能力的全面性。

我們致力于幫助開發者做正確的事，幫助他們改善工作成果。OneFuzz能幫助他們自己找到漏洞。

賈斯汀·坎貝爾

微軟安全部門首席安全軟件工程主管

所以，一定要想黑客之所想才能對付黑客嗎？MORSE團隊在選任成員時注重技能和心態，要能應對風云變幻的網絡安全環境提出的日常挑戰。團隊成員背景多元，這種背景多樣性有利于在處理和解決安全問題時采取不同方法。

安全軟件工程師拓實·皮阿扎（Toshi Piazza）感覺他在微軟的工作自然延續了其在倫斯勒理工學院（Rensselaer Polytechnic Institute）養成的興趣。在學校里，他是倫斯勒理工學院安全團隊的成員，參加了“奪旗”黑客比賽。

皮阿扎說：“我們團隊成員的想法并不相同，但我認為大家都具有與生俱來的好奇心。我們已經將這種心態滲透到了我們的日常工作中。我們像個黑客一樣，著手解決具體問題。這并不壞。其實我覺得這非常有趣。”

小小一個錯誤就可能影響全球數百萬用戶， MORSE的成員表示，應對挑戰，服務客戶讓他們覺得自己是值得的。

阿代爾（Adair）說：“能夠從事這個行業工作，參加奪旗活動和錦標賽的人都具有超強的分析能力，擅長多回合博弈。邁出第一步就像‘嬰兒的第一次冒險’，我該怎么才能過這一關？10分鐘還是3天？然后碰到的事情越來越難——解決過去20-30年里網絡安全工作人員一直想要抵御的風險。背后是不斷學習，探索令人興奮事物的渴望。”

如果MORSE團隊恰恰因為消弭一些潛在災難性問題于無形，而沒能獲得其應得的榮譽呢？這其實早已在他們的預料之中。皮阿扎說道：“我們的功績并不為人所共知，但默默無聞恰恰就是對我們工作成績的肯定，這正是我們想要的。”