Microsoft продолжает помогать компании CrowdStrike устранять последствия недавнего сбоя, в результате которого 8,5 миллионов компьютеров отключились из-за проблемного обновления CrowdStrike. В настоящее время, Microsoft призывает к изменениям в Windows и намекает на приоритетность повышения устойчивости Windows, настоятельно рекомендуюя, чтобы поставщики безопасности, такие как CrowdStrike, прекратили доступ к ядру операционной системы.
CrowdStrike обвиняет в сбое ошибку в своем тестовом программном обеспечении, однако их ПО работает на уровне ядра — центральной части операционной системы с неограниченным доступом к памяти и аппаратной части. Таким образом, если что-то идет не так с приложением CrowdStrike, это может привести к появлению «синего экрана смерти» на устройствах Windows.
Программное обеспечение Falcon от CrowdStrike использует специальный драйвер, позволяющий ему функционировать на более низком уровне, чем большинство приложений, чтобы обнаруживать угрозы в системе Windows. В 2006 году Microsoft попыталась ограничить доступ сторонних приложений к ядру в Windows Vista, но столкнулась с сопротивлением со стороны поставщиков кибербезопасности и регулирующих органов ЕС. Однако Apple смогла заблокировать доступ разработчиков к ядру в macOS в 2020 году.
Сейчас Microsoft стремится возобновить обсуждение ограничения доступа к ядру внутри Windows.
«Этот инцидент ясно показывает, что Windows должна приоритетно меняться и внедрять инновации на пути к энд-то-энд устойчивости», — говорит Джон Кейбл, вице-президент по управлению программами для обслуживания и доставки Windows, в своем блоге, озаглавленном «путь вперед». Кейбл призывает к более тесному сотрудничеству между Microsoft и её парнёрами, которые также активно заботятся о защите экосистемы Windows, чтобы осуществить улучшения безопасности.
Хотя Microsoft не указывает точные улучшения, которые будут внесены в Windows после инцидента с CrowdStrike, Кейбл намекает на направление, в котором компания планирует двигаться. Кейбл упоминает новую функцию VBS enclaves, которая не требует драйверов в режиме ядра для защиты от вмешательства, а также службу Azure Attestation от Microsoft в качестве примеров недавних инноваций в области безопасности.
«Эти примеры используют современные подходы Zero Trust и показывают, что может быть достигнуто, если поощрять практики разработки, которые не зависят от доступа к ядру», — говорит Кейбл. «Мы будем продолжать развивать эти возможности, усиливать нашу платформу и делать больше для улучшения устойчивости экосистемы Windows, работая открыто и совместно с широкой безопасной сообществом.»
Эти намеки могут инициировать обсуждение доступа к ядру Windows, даже если Microsoft заявляет, что не может ограничить свою операционную систему так же, как Apple, из-за требований регулирующих органов. Генеральный директор Cloudflare Маттью Принс уже предупредил о последствиях дальнейшего ограничения доступа Windows, поэтому Microsoft придется тщательно учитывать потребности поставщиков безопасности, если она хочет реализовать реальные изменения.
Источник: The Verge
