После инцидента с Crowdstrike в июле 2024 года, когда миллионы компьютеров с ОС Windows столкнулись с крахом из-за неисправного обновления программного обеспечения для защиты конечных точек, старший вице-президент компании по противодействию противникам, Адам Майерс, выступил на слушании подкомитета по кибербезопасности в Палате представителей США и выразил глубокое сожаление от имени компании.
Майерс заменил генерального директора Джорджа Курца, который отказался от участия в слушаниях. Объясняя проблему законодателям, Майерс отметил, что компания выпускает 10–12 обновлений контента в день, и что «идеальный шторм проблем» послужил причиной массового сбоя. Это потребовало ручного исправления многих IT-систем по всему миру.
Майерс утверждал, что теперь эти обновления контента подвергаются более тщательной проверке для обеспечения контроля качества, но законодатели остаются скептическими, считая, что доступ на уровне ядра к Windows – который позволил инциденту произойти – не является необходимым. Майерс пояснил, что он считает важным иметь возможность видеть все аспекты операционной системы для полноценного функционирования Crowdstrike.
Доступ на уровне ядра в сфере защиты конечных точек
«Вы можете обеспечить принудительное выполнение, другими словами, предотвращение угроз, и гарантировать отсутствие вмешательства», – сказал Майерс, подчеркнув, что вмешательство на уровне ядра было причиной атак программ-вымогателей на компьютерные системы MGM Resort International, связанных с их казино и отелями.
Несмотря на то, что эти атаки все же произошли (хотя неизвестно, какие конкретно меры кибербезопасности были приняты MGM Resorts), Майерс продолжил выступать за доступ на уровне ядра, утверждая, что группа атакующих, называемая Scattered Spider, использует новые техники для повышения своих привилегий с целью регулярного отключения средств защиты.
«Чтобы предотвратить это», сказал он, «мы будем продолжать использовать архитектуру операционной системы».
Таким образом, в итоге ничего не изменилось. Эксперты по безопасности в других компаниях, занимающихся кибербезопасностью, утверждают, что дело не в доступе на уровне ядра, а в его управлении, отмечая, что компания Trellix выпускает обновления на уровне ядра всего один раз в квартал.
Учитывая масштаб ущерба критически важной инфраструктуре, включая отмененные рейсы Delta, затронувшие полмиллиона человек, неудивительно, что Microsoft планирует предоставлять дополнительные функции безопасности вне режима ядра в будущем.
Источник: TechRadar
