Microsoft, Windows 9x’ten Windows 11’e olan yolculuğu boyunca, her biri kendi zamanının zorluklarını ele alan ve gelecekteki gelişmelere zemin hazırlayan çok sayıda güvenlik revizyonu uyguladı.
Bu Help Net Security röportajında, CrowdStrike’ın kurucu çalışanlarından biri olan ve şu anda danışmanlık şirketi Winsider Seminars & Solutions’ı yöneten ve Windows Internals’ın ortak yazarı olan güvenlik araştırmacısı Alex Ionescu’ya yer veriyoruz ve burada güvenlik araştırmaları yapmaya devam ediyor. platform güvenliği.
Ionescu, Microsoft’un attığı adımları, karşılaştığı eleştirileri ve Windows güvenliği açısından geleceğin neler getirebileceğini değerlendiriyor. Modern 32 bit çekirdeğin erken benimsenmesinden Windows 11’in varsayılan olarak güvenli modeline kadar, Microsoft’un güvenlik yörüngesini tanımlayan kararları ve bunun dijital ekosistem için ne anlama geldiğini araştırıyoruz.
Microsoft Windows güvenliğinin ilk günlerinden Windows 11’e kadar olan gelişimini nasıl değerlendirirsiniz?
Windows güvenliğinin tarihi boyunca dört büyük adım attığını söyleyebilirim:
1. 9x’ten Windows NT’ye16 bit DOS’tan (ve işlem eksikliği ve anlamlı kullanıcı/çekirdek korumaları) uygun donanım tabanlı güvenlik (halka seviyeleri, korumalı sanal bellek ve dolgu vb.) ile modern 32 bit çekirdeğe geçiş görüldü. .
2. Windows XP SP2’nin tanıtımı Microsoft’un kod tabanında Bill Gates Notu ve Güvenlik Geliştirme Yaşam Döngüsü (SDL) ile örtüşmektedir.
3. Windows Vista’nın tanıtımı yığın kanaryaları ve DEP’den bu yana ilk kez birçok yeni platform güvenliği azaltımı ekledi. ASLR, Kullanıcı Modu Sürücü Çerçevesi, BitLocker, Windows Gelişmiş Güvenlik Duvarı, Windows Defender entegrasyonu, UAC gibi yeniliklerin tümü Windows Vista’ya eklendi. Ek olarak Vista, x64 mimarili sistemlerin yaygınlaştığı ilk seferdi; bu, daha geniş bir adres alanı aracılığıyla güvenliği artırdı ve PatchGuard gibi x64’e özgü özellikleri etkinleştirdi.
4. Windows 10’un tanıtımıWindows 8.1’in çeşitli özelliklerini (SecureBoot, Korumalı İşlemler, Çekirdek ASLR, Hyper-V Entegrasyonu, Control Flow Guard) alıp bunları ana akım haline getiren ve ardından Hypervisor Korumalı Kod Bütünlüğü ve Kimlik Bilgisi Koruması gibi yeni Sanallaştırma Tabanlı Güvenlik özelliklerini sunan, Windows Çekirdek Sürücüleri için yeni kod imzalama kısıtlamaları eklenirken.
Windows 11 ile Microsoft, Windows 10 yeniliklerini alıyor ve bunları yeni temiz yüklemelerde (HVCI, LSASS Koruması, Çekirdek Sürücü İmzaları vb.) agresif bir şekilde varsayılan olarak açıyor, kayıt defteri ayarlarının arkasında gizlenen on yıllık güvenlik yeniliğini alıyor ve teşvik ediyor varsayılan olarak güvenli bir model.
Tarihsel bağlam göz önüne alındığında, Microsoft’un özellikle Windows 11 olmak üzere daha yeni versiyonlarında güvenliğe nasıl öncelik verdiğini düşünüyorsunuz? Bazı eleştirmenler Microsoft’un yenilik ve hız için güvenlikten taviz verdiğini savunuyor. Ne düşünüyorsunuz?
Microsoft, Windows 8.1 ve Windows 10’a çeşitli güvenlik iyileştirmeleri ekledi ve bunların Windows 11’de varsayılan olarak etkinleştirilmesi, güvenliğe olan bağlılığını göstermeye devam ediyor. Bununla birlikte, güvenliğin her zaman performans, uyumluluk ve özellikler (yenilik/hız) arasında bir uzlaşma olduğu doğrudur. Günümüzün başlıca platform işletim sistemlerine bakarsak, iOS ve Windows bu dördünün en iyi karışımıdır (Windows, bir miktar güvenlik pahasına uyumluluk konusunda galip gelir). Diğer 2 baskın masaüstü işletim sistemi olan macOS ve Linux, Windows’a göre daha az güvenlik sağlıyor ve Linux bunu kesinlikle aynı anda daha kötü uyumluluk ve özellikler sunarken yapıyor.
Microsoft daha iyisini yapabilir mi? Kesinlikle. Bulut tabanlı hizmetlerinde (Azure ve diğerleri) potansiyel olarak bir yönde fazla mı ileri gittiler? Bu nokta tartışılabilir (aynı şekilde, uyumluluk ve kontrol pahasına bugüne kadar bozulmamış bir sistem olan Xbox’ta güvenlik konusunda da çok daha ileri gittiler).
Microsoft’tan özür dileyen biri gibi görünmeye çalışmıyorum (ve çoğu zaman tam tersiyle tanınırım), ancak aynı parametreleri çözerken daha iyi bir işi olan bir satıcıya işaret etmek zordur.
Tenable CEO’su Amit Yoran geçtiğimiz günlerde Microsoft’un “ihmalkar siber güvenlik uygulamalarına” dikkat çekti. Microsoft’un ihlaller ve güvenlik açıkları konusundaki tepkisini ve şeffaflığını nasıl değerlendiriyorsunuz?
Microsoft, hissedarlarının çıkarına en uygun şekilde hareket ediyor; kapitalist ekonomik ortamda bir şirketin böyle davranması gerekir. Amit’te olduğu gibi.
Eğer biz (toplum) bunu değiştirmek istiyorsak, hükümetlerimizi uygulamaya, güçlendirmeye ve kullanmaya zorlamamız gereken yasalarımız, düzenlemelerimiz, uyumluluklarımız, cezalarımız vb. var. Şirketler, bankacılık veya sağlık gibi sıkı düzenlemelere tabi sektörlerin dışında bizim alanımızda olmayan bir ceza ve sorumluluk sistemi olmadan işlerine karıştığında şeffaf ve etik davranmayacaktır.
Çok şükür bazı bölgelerde bu durum değişmeye başlıyor ama daha gidecek çok yolumuz var. Aksi takdirde, şirketlerin davranışlarını değiştirmesinin diğer yolu, pazar dinamiklerinin davranışlarının kârlılığa zarar verecek şekilde değişmesidir. Tenable, Wiz ve CrowdStrike gibi şirketler artık Microsoft’a güvenmedikleri için Microsoft’un öğle yemeği parasını almaya başladıkça, bu aynı zamanda daha iyi davranışları da teşvik edebilir.
Microsoft, profesyonellerin ve büyük kuruluşların güvenini korumak için güvenlik uygulamaları, güvenlik açıkları ve ihlalleri konusunda yeterince şeffaf oldu mu?
Yukarıdaki cevabım bunu kısmen kapsıyor, ancak bir noktaya değinmek gerekirse kişisel inancım, etik ve ahlaki açıdan daha iyisini yapmaları gerektiği yönünde. Bununla birlikte, Azure AD gibi alanlarda çok az rakipleri var veya hiç yok, bu nedenle sektörü kızdırsalar da (bu da hafifletmek için üçüncü taraf ürünleri satın alacaklar) başka alternatifleri yok ve bu nedenle yine kapitalist halka açık şirket perspektifinden bakıldığında , hissedar değerini koruyorlar.
Microsoft’a güvenlik duruşunu ve kamuoyunun algısını iyileştirmesi için bir tavsiye verebilecek olsaydınız bu ne olurdu?
Yoldan geçip kurbanı olmak yerine, devlet kurumlarının siber sektörün düzenlemeleri ve uyumluluğu ile ilgili yaptıkları konuşmanın bir parçası olun; çünkü hükümetler de düzenlemeleri çoğu zaman doğru şekilde yapamıyorlar. Ve Microsoft’un takdirine göre, örneğin CISA ile çalışmaları zaten bunu yapmaya istekli olduklarını gösteriyor.
Güvenlikte altın standardı belirlediğine inandığınız başka teknoloji devleri veya işletim sistemleri var mı ve Microsoft onlardan neler öğrenebilir?
Daha önceki cevabımda buna değinmiştim; iyi ya da kötü, Microsoft, çözmekte oldukları şey için altın standarttır. iOS’un herhangi bir tüketici cihazı arasında en sağlam platform güvenliğine sahip olduğuna inanıyorum (ve Pegasus ve diğer saldırılarda da gördük, bu da bağışık değil), ancak bunun çok yüksek bir kullanılabilirlik maliyeti var – iPhone genel bir bilgi işlem değil 1986’ya kadar uyumluluğa sahip cihaz, ne de olmalıdır. iPhone 15, MacOS System 6.8 yazılımını çalıştırabilseydi ve ben de üzerinde Escape Velocity veya Bubble Trouble oynayabilseydim hayat farklı olurdu.
Dijital tehditlerin artan karmaşıklığı ve cihazların artan birbirine bağlılığı göz önüne alındığında, Microsoft Windows güvenliğinin geleceğini nasıl öngörüyorsunuz?
Windows güvenliği iyi bir yerde ve Microsoft’un kaynak ayırdığı teknolojileri etkinleştirmeye devam edeceğiz. Bulut dünyası ve kayıt tutma eksikliği, görünürlük, güvenlik eklentileri/arayüzleri/API’ler, genişletilebilirlik, satıcıya bağımlı olma gibi konular hakkında çok daha fazla endişe duyuyorum. Bunların hepsi bilgi asimetrisinin çok başarılı sonuçlar vereceği kara kutu bilişim ortamına katkıda bulunuyor. ileri düzey saldırganlar için sonuçlar. Azure (veya AWS) tamamen açık kaynak olsaydı, sanırım bazılarımız en azından birkaç kalp krizi geçiriyor olurdu.