Microsoft szykuje sporą rewolucję. Antywirusy zostaną odcięte od jądra Windowsa
Ktoś mądry kiedyś rzekł, że "lepiej późno, niż wcale". Nauczeni doświadczeniem, głównie za sprawą incydentu z udziałem firmy CrowdStrike, technicy Microsoftu postanowili podjąć kroki, aby zapobiec podobnym wypadkom w przyszłości.
Minął już prawie rok od scenariusza, który dla wielu zakładowych informatyków był spełnieniem najgorszych koszmarów. Za sprawą wadliwej aktualizacji oprogramowania dostarczonej zdalnie przez przedsiębiorstwo CrowdStrike, miliony komputerów z systemem Windows na pokładzie utknęły w wiecznej pętli uruchamiania się i nie były w stanie normalnie funkcjonować. Problem dotyczył ten nie tylko maszyn będących własnością prywatnych przedsiębiorstw, ale także tych wykorzystywanych przez instytucje państwowe, a nawet lotniska i szpitale. Microsoft uznał więc, że to czas i pora, aby wprowadzić kilka zmian celem zapobiegnięciu powtórki z wydarzeń w najbliższej przyszłości.
Antywirusy zostaną odcięte od jądra Windowsa
A aby tego dokonać, podjęto decyzję o przeniesieniu antywirusów oraz aplikacji EDR (endpoint detection and response, pol. wykrywanie i reagowanie na punkty końcowe) z dala od jądra systemu Windows. Zmiana ta podobno została przedyskutowana z licznymi partnerami, czym gigant z Redmond nie omieszkał się pochwalić we wpisie na swoim blogu – tym samym, w którym poinformowano o odesłaniu na emeryturę kultowych już niebieskich ekranów śmierci.
Jak przekazano, już w przyszłym miesiącu zostanie udostępniona prywatna wersja zapoznawcza platformy bezpieczeństwa punktów końcowych Windows. Dostęp do niej uzyskają wspomniani partnerzy, do których grona zalicza się m.in. felerny CrowdStrike, ale także producenci popularnych programów antywirusowych (Bitdefender, ESET) i firmy takie jak SentinelOne, Trellix, Trend Micro i WithSecure. Microsoft liczy na to, że uda im się w porę opracować aplikacje, które do poprawnego działania nie potrzebują dostępu do jądra OS.
Korporacja zapewnia, że posunięcie to pozwoli twórcom zabezpieczeń zagwarantować niezmiennie wysoki poziom niezawodności ich tworów przy jednoczesnym zachowaniu możliwości łatwego odzyskiwania danych. Oznacza to, że w przypadku napotkania problemu, choćby takiego, jak ten wywołany swego czasu przez CrowdStrike, zdarzenie takie będzie miało mniejszy wpływ na urządzenia z Windowsem na pokładzie i nie doprowadzi do globalnego paraliżu w wielu ośrodkach.
W ramach tej ewolucji nasz program MVI 3.0 wymaga od partnerów zobowiązania się do podjęcia określonych działań w celu poprawy bezpieczeństwa i niezawodności systemu Windows. Wymagania obejmują testowanie procesów reagowania na incydenty i przestrzeganie praktyk bezpiecznego wdrażania (SDP) aktualizacji punktów końcowych systemu Windows. Aktualizacje produktów zabezpieczających muszą być stopniowe, wykorzystywać pierścienie wdrażania i monitorowanie w celu zminimalizowania negatywnych skutków. Praktyki te uzupełniają nasze inwestycje w platformy, umożliwiając nam zapewnienie większej stabilności, szybszego odzyskiwania danych i zmniejszenia ryzyka operacyjnego dla klientów korporacyjnych, którzy polegają na bezpiecznym i niezawodnym środowisku Windows.
Osobną kwestią pozostaje oprogramowanie stosowane przez producentów gier do ochrony uczciwych zawodników przed oszustami pałętającymi się po serwerach. Jednym ze studiów, które zdecydowało się na wprowadzenie oprogramowania anti-cheat działającego na poziomie jądra systemu (nazwane zostało Vanguard) jest Riot Games. Wedle redakcji The Verge, w takim przypadku sytuacja jest nieco bardziej zagmatwana, niż w kontekście antywirusów. Przedstawiciele Riotu przekazali, że będą mieli nieco więcej do przekazania w tej kwestii w nieodległej przyszłości, jako że wciąż trwają rozmowy nad tym, jak dokonać zmiany w założeniach technologii bez zaprzepaszczania jej skuteczności.
