Microsoft Security Risk Detection: fuzz testing nel cloud

L'individuazione dei bug (fuzz testing) potrò essere effettuata anche nel cloud Azure grazie al servizio Microsoft Security Risk Detection.

Fonte: sito ufficiale Microsoft

Microsoft Security Risk Detection (MSRD), noto precedentemente come Project Springfield, sta per entrare ufficialmente nel porfolio Microsoft Azure. Lo sviluppo del progetto interno di Redmond giunge così a buon fine dopo quasi 10 anni di gestazione. Di cosa si tratta esattamente?

MSRD è uno strumento pensato per il fuzz testing, ovvero l’individuazione di eventuali bug in un’applicazione. L’idea alla base del fuzz testing è molto semplice: inviare svariate tipologie di dati ad un’applicazione per metterla in difficoltà ed evidenziare potenziali criticità nel codice.

Appoggiarsi all’intelligenza artificiale ed al cloud permette di ottenere naturalmente risultati migliori, come spiegato sul blog ufficiale dal ricercatore che ha guidato il team assegnato a Springfield (David Molnar):

“Impieghiamo l’IA per automatizzare i medesimi ragionamenti che io o tu faremmo per individuare un bug [estendendoli alla potenza del cloud].” […]

Il fuzz testing è una delle tante misure di sicurezza che gli esperti raccomandono per preservare la sicurezza dei sistemi. [Il fuzz testing] va in cerca di vulnerabilità che potrebbero consentire a malintenzionati di lanciare attacchi o semplicemente mandare in crash il sistema.

Il fuzz testing è stato pensato per individuare queste vulnerabilità; gli sviluppatori possono successivamente usare altri strumenti per correggere i bug, mitigare i rischi o vagliare altre soluzioni.

Il servizio MSRD […] utilizza l’IA per porsi una serie di domande “e se” e cercare di individuare ciò che potrebbe portare ad un crash e risultare come una problematica per la sicurezza. Ogni volta che viene eseguito, MSRD migliora [le proprie conoscenze] negli ambiti più critici, cercando vulnerabilità che [potrebbero passare inosservate ad altri strumenti “non intelligenti”].

Altri dettagli

MSRD è destinato all’analisi di applicazioni Windows/Linux  e sarà acquistabile via Microsoft Service nel corso dell’estate.

MSRD potrà essere utilizzato su applicazioni installate in VM Azure. Il cliente avrà a disposizione diverse varianti del tool (fuzzers) e potrà impiegare MSRD per mettere alla prova anche la sicurezza di un portale – MSRD non è però in grado di identificare vulnerabilità comuni come il cross-site scripting.

La data di lancio ufficiale ed i prezzi di listino non sono ancora noti ma saranno rivelati probabilmente a breve.

Fonti: 1, 2

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *