Faz quase um ano que uma atualização de crowdstrike com defeito retirou 8,5 milhões de máquinas baseadas no Windows em todo o mundo, e a Microsoft quer garantir que esse problema nunca aconteça novamente. Depois de manter uma cúpula com os fornecedores de segurança no ano passado, a Microsoft está pronta para lançar uma prévia privada das alterações do Windows que moverão aplicativos de antivírus (AV) e detecção e resposta de terminais (EDR) para fora do kernel do Windows.
A nova plataforma de segurança do Windows Endpoint está sendo construída em cooperação com Crowdstrike, Bitdefender, ESET, Trend Micro e muitos outros fornecedores de segurança. “Tivemos dezenas de parceiros fornecendo documentos para nós, alguns deles centenas de páginas, sobre como eles gostariam que fosse projetado e quais são os requisitos”, explica David Weston, vice -presidente de segurança e segurança da Microsoft, em uma entrevista à A beira. “Fiquei muito satisfeito com isso. É uma indústria de concorrentes, mas todo mundo se intensificou e disse que precisamos construir uma plataforma em que todos nós trabalhemos”.
A Microsoft deseja enfatizar que não está definindo as regras e esperando que todos os sigam imediatamente, mas construa as regras juntas. “Não estamos aqui para contar a eles como a API deve funcionar, estamos aqui para ouvir e fornecer a segurança e a confiabilidade”, diz Weston. “Acho que se tivéssemos saído que alguns de nossos concorrentes e dissessem: ‘Aqui está, pegue ou deixe -o’, isso seria realmente um desafio”.
Durante décadas, a Microsoft criou o Windows de uma maneira que permitisse que os desenvolvedores entregassem software de segurança que está profundamente enraizado no Windows, executando no nível do kernel do Windows – a parte central de um sistema operacional que tem acesso irrestrito à memória e hardware do sistema. A atualização defeituosa do crowdstrike no ano passado destacou o quão fácil é para um motorista no nível do kernel dar errado e derrubar uma máquina, resultando em uma tela azul de morte (BSOD).
A Microsoft agora possui alguns de seus engenheiros do Windows mais experientes trabalhando nessas alterações de segurança. “Tivemos os principais desenvolvedores disso, alguns dos arquitetos do kernel de janelas e pessoas que nem sequer trabalham em segurança”, diz Weston. “É realmente o maior cérebro das janelas principais envolvidas e colaborar com Crowdstrike, ESET e todas essas pessoas”.
A visualização privada dará aos fornecedores de segurança a chance de solicitar alterações. Weston diz que espera algumas iterações até que esteja pronto para os fornecedores fazer a troca. Também não vai resolver todas as instâncias de driver no nível do kernel imediatamente. “Nosso objetivo é começar com AV e EDR, mas provavelmente haverá motoristas de kernel por algum período à medida que avançarmos para o próximo conjunto de casos de uso”.
Outra grande área de janelas que usa motoristas no nível do kernel são os motores anti-travessuras para jogos. A Microsoft está conversando com os desenvolvedores de jogos sobre como reduzir a quantidade de uso do kernel, mas é um caso de uso mais complicado, pois os trapaceiros geralmente precisam adulterar propositadamente com sua máquina para desativar as proteções e colocar motores de trapaça em execução.
“Muitos (desenvolvedores de jogos) adorariam não precisar manter coisas do kernel e estão muito interessadas em como fazem isso”, diz Weston. “Estamos conversando sobre os requisitos lá e acho que teremos mais a dizer sobre isso em um futuro próximo”. A Riot Games me disse no ano passado que está disposto a seguir possíveis mudanças de segurança do Windows e “recuar do espaço do kernel”.
Embora levem a Microsoft e os fornecedores de segurança para trabalhar com essas alterações no Windows, a Microsoft está confiante de que verá boas taxas de adoção porque seus clientes estão pedindo alterações após o incidente de crowdstrike.
A Microsoft também está se preparando para lançar uma atualização do Windows no final deste verão que incluirá um novo recurso de recuperação de máquina rápida, projetada para restaurar rapidamente máquinas que não podem inicializar. Ele solicita um dispositivo a entrar no ambiente de recuperação do Windows, onde a máquina pode acessar a rede e fornecer à Microsoft informações de diagnóstico. “Basicamente, construímos a coisa que gostaríamos de ter para o incidente no ano passado”, diz Weston.
A visão de uma tela azul da morte também será uma coisa do passado. A Microsoft agora está redesenhando oficialmente seu BSOD para que seja preto e não azul. Mais sobre essa grande mudança aqui.
