CrowdStrike, Come Microsoft proteggerà Windows. CrowdStrike, Come Microsoft proteggerà 8,5 milioni di macchine Windows.

CrowdStrike, Come Microsoft proteggerà Windows

Negli ultimi giorni, CrowdStrike e Microsoft hanno lavorato senza sosta per assistere i clienti colpiti dall’imponente problema di BSOD (lo schermo blu della morte) di Windows, causato da un aggiornamento difettoso di CrowdStrike, per cui ora il CEO di CrowdStrike George Kurtz è stato chiamato a testimoniare davanti alla Commissione per la Sicurezza Nazionale della Camera dei Deputati.

CrowdStrike, Come Microsoft proteggerà 8,5 milioni di macchine Windows.

Poco più di una settimana dopo il pasticcio Aggiornamento CrowdStrike causato dal crash di milioni di macchine basate su Windows, Microsoft ha pubblicato la sua analisi dell’interruzione. Come parte di questo, Microsoft ha spiegato come accesso a livello del kernel per prodotti come CrowdStrike è importante e ha delineato come proteggerà milioni di macchine Windows in futuro.

In un nuovo post sul blog, intitolato Best practice di Windows Security per l’integrazione e la gestione degli strumenti di sicurezza, l’azienda esamina  l’interruzione CrowdStrike, fornendo la propria interpretazione della causa principale.

Nell’ambito del nuovo post Microsoft, David Weston, vicepresidente, la sicurezza aziendale e del sistema operativo spiega perché oggi i prodotti di sicurezza utilizzano driver in modalità kernel e le misure di sicurezza che Windows fornisce per soluzioni di terze parti come CrowdStrike.

Microsoft conferma l’analisi di CrowdStrike

La scorsa settimana, CrowdStrike ha pubblicato la revisione post incidente, confermando che il problema è stato causato da un bug nel software che utilizza per testare i suoi regolari aggiornamenti dei contenuti. Sebbene questo fosse raro e difficile da catturare, CrowdStrike ammette la colpa e si è impegnato a migliorare di conseguenza il proprio processo di garanzia della qualità e di test.

Microsoft conferma l’analisi di CrowdStrike secondo cui il problema era un errore di sicurezza della memoria di lettura dei limiti nel driver CSagent.sys sviluppato da CrowdStrike. “Sulla base dell’analisi di Microsoft dei dump di crash del kernel di Windows Error Reporting relativi all’incidente, osserviamo modelli di crash globali che riflettono questo, ha affermato l’azienda.

Nel suo post sul blog, Microsoft delinea quattro passaggi chiave per garantire la sicurezza in seguito all’incidente di CrowdStrike:

Fornire indicazioni sicure sull’implementazione, best practice e tecnologie per rendere più sicuro l’esecuzione di aggiornamenti ai prodotti di sicurezza.
Ridurre la necessità per i driver del kernel di accedere a importanti dati di sicurezza.
Fornire funzionalità migliorate di isolamento e antimanomissione con tecnologie come le enclavi VBS recentemente annunciate.
Abilitazione di approcci zero trust come l’attestazione di elevata integrità che “fornisce un metodo per determinare lo stato di sicurezza della macchina in base allo stato delle funzionalità di sicurezza native di Windows.”
Sembra che Microsoft stia riducendo l’accesso che hanno i driver del kernel.

Invece, Card pensa che le domande principali che dovrebbero essere poste dopo CrowdStrike siano: “Perché CrowdStrike non ha testato sufficientemente, perché non hanno scaglionato la distribuzione e perché non hanno permesso ai clienti di auto-ritardare questo tipo di contenuto?”

È chiaro che la questione è di portata molto più ampia rispetto al livello di accesso dei prodotti di sicurezza. E seguendo il blog di Microsoft, Card ritiene che il cambiamento nel modo in cui funziona Windows dovrebbe essere attentamente considerato. “Penso che la questione della resilienza vada molto più che al kernel rispetto agli utenti e riguardi più i paesi e gli ecosistemi tecnologici.”

Sicurezza, Qualità, GDPR, HACCP, Medicina del lavoro, E-learning, Videoconferenza, Qualifica Fornitori, CRM...