A Microsoft está atualizando o Windows para evitar a repetição da catástrofe do CrowdStrike
A Microsoft diz que está trabalhando no Windows para permitir que soluções de segurança de endpoint operem fora do kernel do sistema operacional, tudo com o objetivo de evitar futuras mega interrupções no estilo CrowdStrike.
Reconhecendo os apelos de clientes e fornecedores para fazer isso, a Microsoft observou uma série de desafios que devem ser superados para que esses novos recursos satisfaçam as demandas.
As necessidades de desempenho fora do modo kernel e as proteções anti-adulteração estão entre os problemas que exigem atenção, e a Microsoft disse que consideraria os requisitos de sensor de segurança e segurança por design enquanto tenta melhorar o Windows.
A notícia vem da cúpula de segurança sem imprensa da empresa realizada esta semana. Parece que a Microsoft ouviu o assobios furiosos dos abutrese decidiu tornar públicos os detalhes da cúpula depois de inicialmente sugerir no mês passado que eles poderiam não ser.
Como esperado, em uma sala cheia de especialistas em infosec de fornecedores, todos discutindo o funcionamento interno e as fraquezas do ecossistema de segurança de endpoint, nem tudo foi revelado no blog da Microsoft resumindo o evento. Os bandidos estão sempre observando, e tudo mais.
No entanto, aqueles com interesse no assunto pareceram receber bem a cúpula e suas conclusões.
Joe Levy, CEO da Sophos, disse em uma declaração: “O Windows Endpoint Security Ecosystem Summit da Microsoft foi um chamado crítico para a ação dos provedores de segurança de endpoint após a paralisação global de TI em julho. O Summit nos deu a chance de nos reunirmos para iniciar um diálogo sobre como e por que precisamos repensar tópicos importantes, como arquiteturas de kernel, o risco de monoculturas, práticas de implantação seguras, transparência do fornecedor e muito mais.
“Antes da interrupção, a maior parte do mundo não pensava em quem ou o que tinha acesso ao kernel, ELAM [Early Launch AntiMalware] recursos, lançamentos de atualização de dados e outras tecnologias que fazem as proteções ‘simplesmente acontecerem’ para os usuários, mas que exigem planejamento técnico e arquitetônico preciso. Alarmantemente, algumas empresas de segurança também não estavam pensando o suficiente sobre isso.”
O sentimento de Levy foi amplamente ecoado por outros presentes, incluindo executivos da Broadcom, SentinelOne, Trellix e Trend Micro. A opinião da ESET foi a mesma, mas também declarou que manter o acesso ao kernel para produtos de segurança é “imperativo”.
A Microsoft destacou as mudanças planejadas para o Windows, que foram anunciadas em maio — antes de todo o desastre do CrowdStrike — que incluem a intenção de garantir que o acesso ao kernel fosse disponibilizado em uma base just-in-time, em vez de uma abordagem sempre ativa.
Para recapitular: Paralisação do CrowdStrike em julho foi causado por uma atualização de sensor defeituosa no Falcon, a plataforma de segurança de endpoint do fornecedor. Esta atualização veio na forma de um arquivo de canal, mas continha alguns dados que levaram a um erro de lógica, fazendo com que o Falcon travasse de tal forma que o Windows seguiu o exemplo com um BSOD que bloqueou 8,5 milhões de PCs em todo o mundo.
Membros da comunidade de segurança da informação atacaram a CrowdStrike nos primeiros dias após a interrupção, antes que a causa raiz fosse tornada pública, incluindo alegações de baixa garantia de qualidade (QA) antes de emitir patches e piadas sobre estagiários perdendo seus empregos.
Vale a pena notar que o ângulo QA foi rejeitado pela CrowdStrike. O CEO da empresa, George Kurtz, disse recentemente que a atualização do sensor foi validada, mas sugeriu que foi um incidente bizarro que não ocorreu nas milhares de atualizações do sensor Falcon emitidas ao longo dos anos.
Kurtz disse na Conferência de Tecnologia e Communacopia do Goldman Sachs esta semana: “Então, neste caso em particular, tivemos uma mudança de configuração, que é como se não houvesse código, é apenas uma configuração que o sensor consome. E passamos por um processo de validação e validamos todos eles. Eles realmente funcionaram. O problema é que tínhamos 21 deles e o sensor entendeu 20. E essa é a explicação simples do que aconteceu.
“Então, o que mudamos em termos de processo? Bem, agora executamos as alterações de configuração não apenas pela validação, mas por todos os vários processos de QA de código que temos e, então, implantamos isso em uma forma de implementação em fases, além de dar aos clientes a escolha de como eles querem implantar esse conteúdo.”
Depois que as reações iniciais impulsivas à interrupção diminuíram, as críticas mais sensatas surgiram da indústria, principalmente aquelas relacionadas ao grau em que a segurança pode ser executada no kernel do Windows. Era uma questão sobre a qual alguns clientes e especialistas em infosec exigiam respostas e mudanças.
Microsoft anteriormente sugerido que a UE a forçou em 2009 a fornecer aos fornecedores de segurança o mesmo nível de acesso ao seu sistema operacional que seus próprios produtos de segurança. Isso ocorreu em um cenário de longa duração da União Europeia escrutínio da empresa.
Independentemente dos motivos, a mudança no kernel ocorrerá em breve, prometeu a Microsoft, e essas alterações serão informadas por contribuições da indústria em geral.
“Como próximo passo, a Microsoft continuará a projetar e desenvolver esta nova capacidade de plataforma com a contribuição e colaboração de parceiros do ecossistema para atingir a meta de maior confiabilidade sem sacrificar a segurança”, afirmou. disse no resumo da cúpula.
O outro projeto de longo prazo a ser desenvolvido pela Microsoft e fornecedores de segurança é o desenvolvimento de melhores práticas para a implementação segura de atualizações de plataforma. A ideia seria adotá-las em todo o ecossistema de fornecedores.
“Enfrentamos um conjunto comum de desafios ao implementar atualizações com segurança no grande ecossistema do Windows, desde decidir como fazer implementações medidas com um conjunto diversificado de endpoints até conseguir pausar ou reverter, se necessário”, disse a Microsoft.
“Um núcleo [Safe Deployment Practices (SDP)] O princípio é a implantação gradual e em etapas das atualizações enviadas aos clientes. O Microsoft Defender for Endpoint publica SDPs e muitos dos nossos parceiros de ecossistema, como Broadcom, Sophos e Trend Micro, também compartilharam como abordam os SDPs.
“Esta rica discussão na Cúpula continuará como um esforço colaborativo com nossos parceiros do MVI para criar um conjunto compartilhado de melhores práticas que usaremos como um ecossistema daqui para frente.”
No curto prazo, a Microsoft disse que está comprometida em fazer “progresso rápido” em questões como testes de componentes críticos, compartilhamento de informações sobre a saúde do produto, eficácia da resposta a incidentes e testes de compatibilidade conjunta entre diversas configurações.
Aguardamos novas atualizações com alguma expectativa. ®
