Co chce zmienić Microsoft po globalnej awarii CrowdStrike?

Awaria CrowdStrike, spowodowana błędem pamięci out-of-bounds w aktualizacji oprogramowania CrowdStrike Falcon, wywołała crash systemu operacyjnego (Blue Screen of Death) dla około 8,5 miliona urządzeń z systemem Windows, przerywając działanie wielu organizacji, w tym lotnisk, szpitali czy instytucji finansowych.

W odpowiedzi na tę sytuację we wtorek Microsoft zorganizował szczyt Windows Endpoint Security Ecosystem Summit w swojej siedzibie w Redmond w stanie Waszyngton. Wzięło w nim udział kilku dostawców zabezpieczeń punktów końcowych z Microsoft Virus Initiative (MVI), a także urzędnicy rządowi ze Stanów Zjednoczonych i Unii Europejskiej.

Grupa omówiła różne strategie i wyzwania związane ze zwiększaniem odporności ekosystemu zabezpieczeń punktów końcowych, aby zapobiec kolejnym incydentom takim jak CrowdStrike. Jednocześnie chodzi o to, żeby nie zabraniać instalowania oprogramowania do bezpieczeństwa, które mocno ingeruje w pamięć systemu, ponieważ wszyscy wiemy, że jest ono potrzebne i działa.

Kluczowym punktem dyskusji na szczycie, jeśli chodzi o długoterminowe rozwiązania mające na celu poprawę odporności, była możliwość rozszerzenia działania dostawców zabezpieczeń poza jądrem systemu Windows, co zmniejszy prawdopodobieństwo, że wadliwa aktualizacja doprowadzi do powszechnych Blue Screenów.

Ograniczenia dostępu do jądra OS a prawo antykonkurencyjne

Zgodnie z treścią posta Microsoft nie wspomniał o możliwości całkowitego zablokowania dostępu do jądra dla dostawców zabezpieczeń, ale omówił potrzeby wydajnościowe i wyzwania poza jądrem, ochronę przed manipulacją dla rozwiązań zabezpieczających, wymagania dotyczące czujników bezpieczeństwa i cele bezpieczeństwa w fazie projektowania.

Od czasu incydentu CrowdStrike Microsoft zasugerował już, że zamierza zmniejszyć zależność od dostępu do jądra, a wiceprezes Windows Servicing and Delivery John Cable wypowiedział się na blogu Windows IT Pro 25 lipca, podkreślając przykłady rozwiązań, które „wykorzystują nowoczesne podejścia Zero Trust i pokazują, co można zrobić, aby zachęcić do praktyk programistycznych, które nie polegają na dostępie do jądra”.

Niektórzy wyrazili jednak obawy, że jeśli Microsoft ostatecznie zamierza ograniczyć dostęp niskopoziomowy dla innych dostawców zabezpieczeń punktów końcowych, może to dać jego własnym rozwiązaniom zabezpieczającym przewagę konkurencyjną.

Na przykład współzałożyciel i dyrektor generalny Cloudflare Matthew Prince napisał w poście na X pod koniec sierpnia: „Organy regulacyjne muszą stać na straży. Świat, w którym tylko Microsoft może zapewnić skuteczne zabezpieczenia punktów końcowych, nie jest bezpieczniejszym światem”, dodając w komentarzu, że „Problem nie polega na zablokowaniu dostępu do jądra. Chodzi o zablokowanie go dla wszystkich innych, ale nadal umożliwienie własnemu rozwiązaniu uzyskania uprzywilejowanego dostępu”.

Microsoft już wcześniej próbował ograniczyć dostęp aplikacji do jądra systemu operacyjnego, w tym aplikacji zabezpieczających, za pomocą funkcji o nazwie PatchGuard w systemie Windows Vista w 2006 r. Jednak ostatecznie zmienił kurs po reakcji głównych firm zajmujących się bezpieczeństwem, takich jak Symantec i McAfee, a także po zgłoszeniu przez Komisję Europejską obaw regulacyjnych.

Krótkoterminowe rozwiązania niezależne od dostawcy

Oprócz kwestii dotyczących dostępu do jądra, uczestnicy Windows Endpoint Security Ecosystem Summit, w którym uczestniczyli również przedstawiciele firm Broadcom, SentinelOne, Sophos, Trellix, Trend Micro i CrowdStrike, omówili również krótkoterminowe rozwiązania zapobiegające poważnym incydentom oraz uznali znaczenie współpracy i otwartego udostępniania informacji za korzyść dla wspólnych klientów.

„Jesteśmy konkurentami, nie przeciwnikami. To przeciwnicy są tymi, przed którymi musimy chronić świat” – napisał Weston w poście na blogu Microsoft.

W celu krótkoterminowej poprawy odporności uczestnicy omówili praktyki bezpiecznego wdrażania (SDP) oraz sposób, w jaki firma Microsoft i dostawcy zabezpieczeń będą współpracować nad tworzeniem wspólnych najlepszych praktyk w celu bezpiecznego wdrażania aktualizacji na różnych punktach końcowych systemu Windows. Partnerzy Microsoft i MVI mają również na celu zwiększenie testowania oprogramowania, w tym wspólne testowanie zgodności dla różnych konfiguracji, oraz poprawę reagowania na incydenty poprzez ściślejszą koordynację z partnerami w zakresie procedur odzyskiwania.

Microsoft zapewnił klientom niezależne od dostawców zalecenia, aby byli przygotowani na wypadek poważnego incydentu w całym ekosystemie Windows. Należą do nich posiadanie solidnego planu ciągłości działania (BCP), planu reagowania na poważne incydenty (MIRP) i bezpiecznych kopii zapasowych danych, które są często aktualizowane.

„Uważamy, że przejrzystość ma kluczowe znaczenie i zdecydowanie zgadzamy się z Microsoftem, że firmy zajmujące się bezpieczeństwem muszą spełniać rygorystyczne standardy inżynierii, testowania i wdrażania oraz stosować najlepsze praktyki w zakresie rozwoju oprogramowania i wdrażania” – powiedział Ric Smith, dyrektor ds. produktów i technologii w SentinelOne.