Andrey Rudakov/Bloomberg via Getty ImagesNo hay duda de que la gran crisis de CrowdStrike-Windows en julio de 2024 fue un desastre económico. Fue la mayor interrupción de TI de la historia. Sus efectos afectaron a los sistemas bancarios, las redes de atención médica y la red mundial de transporte aéreo. Como dejaron en claro los análisis posteriores al incidente, era totalmente evitable. Además: deje de pagar por software antivirus. Esta es la razón por la que no lo necesitaA raíz de ese incidente, Microsoft convocó una Cumbre del Ecosistema de Seguridad de Endpoints de Windows de un día de duración celebrada a principios de esta semana en su sede de Redmond. El objetivo del evento cerrado, que no estaba abierto a la prensa ni a observadores externos, era reunir a lo que Microsoft llamó «un grupo diverso de proveedores de seguridad de endpoints y funcionarios gubernamentales de EE. UU. y Europa para discutir estrategias para mejorar la resiliencia y proteger la infraestructura crítica de nuestros clientes mutuos». ¿Salió algo útil de la sesión? ¿Quién sabe? David Weston, vicepresidente de seguridad empresarial y de sistemas operativos de Microsoft, ofreció un resumen de la sesión que fue claramente desestimada por abogados y profesionales de la comunicación hasta que todo lo que quedó fue un mensaje corporativo optimista y algunas pistas vagas («temas clave y puntos de consenso») de lo que podría suceder en Windows y en los productos de seguridad de endpoints… algún día, pero probablemente no pronto. Además: Por qué la NSA le aconseja apagar su teléfono una vez a la semana Como señala ese informe, la mesa redonda «no fue una reunión de toma de decisiones… discutimos las complejidades del panorama de seguridad moderno, reconociendo que no hay soluciones simples». Pero un tema que se repite en el resumen de la reunión es la comprensión colectiva de que la industria no puede permitirse otro incidente de CrowdStrike. El incidente de CrowdStrike en julio subrayó la responsabilidad que tienen los proveedores de seguridad de impulsar tanto la resiliencia como la protección ágil y adaptable. … Nos enfrentamos a un conjunto común de desafíos para implementar actualizaciones de manera segura en el gran ecosistema de Windows, desde decidir cómo hacer implementaciones medidas con un conjunto diverso de endpoints hasta poder pausar o revertir si es necesario. Un núcleo [Safe Deployment Practices] El principio es la implementación gradual y por etapas de las actualizaciones enviadas a los clientes. Esa es una crítica directa a CrowdStrike, que causó la interrupción de TI al implementar una actualización defectuosa en todo su universo de dispositivos en lugar de usar una implementación por etapas que podría haber identificado el problema de manera temprana y detener las actualizaciones para minimizar el daño generalizado. Hay un poco más de color en los comentarios de los participantes de la reunión que se adjuntaron al final de la publicación del blog corporativo de Microsoft, como esta explosión de Ric Smith, director de productos y tecnología de SentinelOne, competidor de CrowdStrike: SentinelOne agradece a Microsoft por su liderazgo en la convocatoria de la Cumbre del Ecosistema de Seguridad de Puntos de Conexión de Windows y estamos totalmente comprometidos a ayudar a impulsar su objetivo de reducir la posibilidad de futuros eventos como el causado por CrowdStrike. Creemos que la transparencia es fundamental y estamos totalmente de acuerdo con Microsoft en que las empresas de seguridad deben cumplir con estrictos estándares de ingeniería, prueba e implementación y seguir las mejores prácticas de desarrollo e implementación de software. Estamos orgullosos de haber seguido los procesos que Microsoft ha discutido hoy durante años y continuar haciéndolo en el futuro. [emphasis added]Ay. Sin embargo, lo que claramente fue la discusión más acalorada giró en torno al acceso en modo kernel a Windows, una de las causas clave de la debacle de CrowdStrike. Como señalé hace unos meses, el alcance de la interrupción de CrowdStrike se debió en gran parte a la arquitectura de Windows: los desarrolladores de aplicaciones a nivel de sistema para Windows, incluido el software de seguridad, históricamente implementan sus funciones utilizando extensiones y controladores de kernel. Como ilustra este ejemplo, el código defectuoso que se ejecuta en el espacio del kernel puede causar fallas irrecuperables, mientras que el código que se ejecuta en el espacio del usuario no puede hacerlo. Eso solía suceder también con MacOS, pero en 2020, con MacOS 11, Apple cambió la arquitectura de su sistema operativo insignia para desalentar enérgicamente el uso de extensiones de kernel. En su lugar, se insta a los desarrolladores a escribir extensiones del sistema que se ejecuten en el espacio del usuario en lugar de a nivel de kernel. En MacOS, CrowdStrike utiliza el Endpoint Security Framework de Apple y afirma que, al utilizar ese diseño, «Falcon logra los mismos niveles de visibilidad, detección y protección exclusivamente a través de un sensor de espacio de usuario». ¿Podría Microsoft hacer el mismo tipo de cambio para Windows? Tal vez, pero hacerlo sin duda provocaría la ira de los reguladores antimonopolio, especialmente en Europa. En los términos más amplios posibles, la publicación de Microsoft se refiere a las «capacidades de la plataforma que Microsoft planea poner a disposición en Windows», con una mención específica a los valores predeterminados de seguridad en Windows 11 que «permiten que la plataforma proporcione más capacidades de seguridad a los proveedores de soluciones fuera del modo kernel. Tanto nuestros clientes como nuestros socios del ecosistema han pedido a Microsoft que proporcione capacidades de seguridad adicionales fuera del modo kernel…». Además: Sí, puede actualizar esa vieja PC a Windows 11, incluso si Microsoft dice que no. Estos lectores lo demostraronNo todos los asistentes están entusiasmados con esa idea. Por ejemplo, el director ejecutivo de Sophos, Joe Levy, señaló educadamente: «Nos complace mucho ver que Microsoft apoya muchas de las recomendaciones de Sophos, basadas en la colección de innovaciones arquitectónicas y de procesos que hemos creado a lo largo de los años y que presentamos hoy en los 30 millones de puntos finales de Windows que protegemos en todo el mundo. La cumbre fue un primer paso importante y alentador en un viaje que producirá mejoras incrementales con el tiempo…». ¿Cuáles son esas recomendaciones? En una publicación de blog de agosto, Simon Reed, director científico y de investigación de Sophos, dejó en claro que la empresa considera fundamental el acceso al núcleo de Windows. «Operar en el ‘espacio del núcleo’, la capa más privilegiada de un sistema operativo, con acceso directo a la memoria, el hardware, la gestión de recursos y el almacenamiento, es de vital importancia para los productos de seguridad». Los controladores del núcleo son «fundamentales», escribió, no solo para los productos de Sophos, sino también para «la seguridad robusta de los endpoints de Windows, en general». En una declaración que no se atribuyó a ninguna persona, ESET fue aún más contundente: ESET apoya las modificaciones del ecosistema de Windows que demuestren mejoras mensurables en la estabilidad, con la condición de que cualquier cambio no debilite la seguridad, afecte el rendimiento o limite la elección de soluciones de ciberseguridad. Sigue siendo imperativo que el acceso al núcleo siga siendo una opción para el uso de los productos de ciberseguridad para permitir la innovación continua y la capacidad de detectar y bloquear futuras ciberamenazas. Esperamos seguir colaborando en esta importante iniciativa. [emphasis added]Y esa es, en última instancia, la razón por la que no es realista esperar cambios radicales en la plataforma Windows en un futuro próximo. Esos argumentos de Sophos y ESET son claramente compartidos por los líderes de otras empresas de seguridad, que temen que restringir el acceso al núcleo de Windows dará a los propios productos de protección de endpoints de Microsoft una ventaja competitiva crucial. Además: 7 reglas de contraseñas que se deben seguir en 2024, según los expertos en seguridadEse es el tipo de debate que rápidamente pasa de los ingenieros a los abogados. Dada la historia de Microsoft con los reguladores antimonopolio en Europa y los EE. UU., es probable que termine en los tribunales. Probablemente esa sea la razón por la que se invitó a «funcionarios gubernamentales de los EE. UU. y Europa» a asistir a la cumbre, y no hay duda de que estaban tomando notas.