Gestión de la continuidad empresarial / Recuperación ante desastres, Actualizaciones de interrupciones de CrowdStrike, Empresa de seguridad de endpoints centrada en prácticas de implementación seguras, reducción de dependencias del modo kernelMichael Novinson (MichaelNovinson) • 12 de septiembre de 2024 David Weston, vicepresidente de seguridad empresarial y del sistema operativo, Microsoft (Imagen: Microsoft) La reducción de las dependencias del modo kernel y la adopción de prácticas de implementación seguras harán que los sistemas de endpoints sean más resistentes y seguros para los clientes de Windows, según Microsoft. Ver también: Panorama de amenazas de 2024: la pérdida de datos es un problema de personas El gigante del software y la computación en la nube del área de Seattle reunió a funcionarios gubernamentales y líderes de proveedores de seguridad de endpoints, incluidos CrowdStrike, SentinelOne, Broadcom y Sophos, para abordar desafíos comunes en la seguridad del ecosistema de Windows. La reunión del martes se produjo dos meses después de que una actualización defectuosa de CrowdStrike interrumpiera 8,5 millones de máquinas Windows y causara $ 5.4 mil millones en pérdidas directas (ver: Después de la interrupción de CrowdStrike: ¿es hora de reconstruir Microsoft Windows?). “Somos competidores, no somos adversarios”, dijo David Weston, vicepresidente de seguridad empresarial y de sistemas operativos de Microsoft, en una publicación de blog el jueves. “Los adversarios son aquellos de los que debemos proteger al mundo. Estamos agradecidos por el apoyo y los aportes de esta comunidad y entusiasmados con las conversaciones en curso y el trabajo que tenemos por delante”. El enigma del acceso a nivel de kernel Weston dijo que Microsoft quiere ofrecer más capacidades de seguridad fuera del kernel, lo que permite a los proveedores de seguridad de terceros ofrecer herramientas sólidas sin los riesgos asociados con el acceso profundo al sistema. Las mejoras a nivel de plataforma en Windows 11 tienen como objetivo proporcionar una mejor protección sin depender de las operaciones en modo kernel, que según Weston podrían exponer vulnerabilidades. “La postura de seguridad mejorada de Windows 11 y los valores predeterminados de seguridad permiten que la plataforma proporcione más capacidades de seguridad a los proveedores de soluciones fuera del modo kernel”, dijo Weston en la publicación del blog. “Tanto nuestros clientes como nuestros socios del ecosistema han pedido a Microsoft que proporcione capacidades de seguridad adicionales fuera del modo kernel”. Según el vicepresidente de ingeniería de Sophos, Neil Watkiss, la plataforma Windows podría evolucionar para minimizar el uso de controladores de kernel de terceros y ofrecer más API integradas para operaciones de seguridad. Dijo que el uso de API para el control de acceso a archivos, acceso al registro, intercepción de red y monitoreo del comportamiento de procesos podría ayudar a proveedores como Sophos a reducir su dependencia a nivel de kernel y, al mismo tiempo, mantener la interoperabilidad. “Si la plataforma Windows evolucionara de manera que redujera la necesidad de controladores de kernel, podría ser útil incluir esta funcionalidad”, dijo Watkiss en una publicación de blog el jueves. “Esa evolución es un proceso que probablemente requerirá una comunicación abierta. También notamos que la implementación de cambios requerirá una consideración cuidadosa de cómo las entidades maliciosas podrían socavar cualquier cambio”. Sophos actualmente emplea cinco controladores de kernel en Windows para mantener la seguridad y el rendimiento del sistema, dijo, lo que permite una integración profunda del sistema y habilita la protección anti-malware, el registro de procesos, la protección contra manipulaciones y la seguridad de la red. Estos controladores de kernel son fundamentales para garantizar la seguridad y la estabilidad del sistema, y ​​brindan registro de eventos de alta fidelidad y control sobre los procesos y el tráfico de la red, dijo. “Sophos interopera con la plataforma Windows subyacente mediante una combinación de técnicas, algunas de las cuales llegan a lo más profundo de los aspectos internos de la plataforma: controladores de kernel, enganches del espacio de usuario y otras técnicas”, dijo Watkiss. “En términos generales, el acceso al sistema proporcionado por los controladores de kernel es necesario para proporcionar las funciones de seguridad que esperan los usuarios de un producto de ciberseguridad moderno”. Por qué es importante implementar actualizaciones de software de forma gradual La reunión del martes también discutió el perfeccionamiento de los procesos de actualización en todo el ecosistema de Windows para minimizar las interrupciones y garantizar la seguridad, y Microsoft y otros proveedores de seguridad de puntos finales, incluidos Broadcom y Sophos, compartieron las mejores prácticas para implementar actualizaciones de forma segura y administrar las reversiones en caso de que surjan problemas. La creación de un marco común para los proveedores de seguridad mejorará la seguridad del cliente y la resiliencia del sistema. Una práctica de implementación segura básica, o SDP, es “la implementación gradual y por etapas de las actualizaciones enviadas a los clientes”, dijo Weston. “Este rico debate en la Cumbre continuará como un esfuerzo de colaboración con nuestro MVI [Microsoft Virus Initiative] CrowdStrike envió la actualización de software defectuosa a todos sus clientes simultáneamente, lo que agravó dramáticamente el alcance del problema. La compañía publicó un análisis de la causa raíz de la interrupción y dijo que ya está realizando múltiples cambios para evitar que vuelva a ocurrir, incluido el refuerzo de sus prácticas de prueba internas y la implementación de actualizaciones de software en lotes (ver: CrowdStrike presenta salvaguardas, busca mitigar el impacto de la interrupción). «Son un proveedor de ecosistema abierto. Y somos un jugador en el mercado de seguridad», dijo el cofundador y CEO de CrowdStrike, George Kurtz, en la Conferencia de Tecnología y Communacopia de Goldman Sachs el miércoles. «Pero, ¿cómo se une el mercado de seguridad para pensar en otras formas de extender ese ecosistema y generar más resiliencia?» Weston dijo que los proveedores de seguridad de puntos finales en la cumbre del martes tienen como objetivo crear procesos estandarizados para compartir información sobre el estado del producto y coordinar los esfuerzos de recuperación en respuesta a los principales incidentes de ciberseguridad. Enfatizó la necesidad de aumentar las pruebas, mejorar la computabilidad en diversas configuraciones y una respuesta a incidentes más efectiva para los socios del ecosistema de seguridad de Microsoft. “Nuestros clientes mutuos se benefician cuando hay opciones para Windows y opciones en productos de seguridad”, dijo Weston en la publicación del blog. “Era evidente que, dada la gran cantidad de productos de punto final en el mercado, todos compartimos la responsabilidad de mejorar la resiliencia al compartir abiertamente información sobre cómo funcionan nuestros productos, manejan actualizaciones y gestionan interrupciones”. URL de la publicación original: https://www.databreachtoday.com/kernel-mode-under-microscope-at-windows-security-summit-a-26280