Windows Güvenlik Zirvesi’nde Çekirdek Modu Mikroskop Altında

Seattle bölgesindeki yazılım ve bulut bilişim devi, Windows ekosistemini güvence altına almada karşılaşılan ortak zorlukları ele almak için hükümet yetkililerini ve CrowdStrike, SentinelOne, Broadcom ve Sophos gibi uç nokta güvenlik satıcılarının liderlerini bir araya getirdi. Salı günkü toplantı, hatalı bir CrowdStrike güncellemesinin 8,5 milyon Windows makinesini bozmasından ve 5,4 milyar dolarlık doğrudan kayba yol açmasından iki ay sonra gerçekleşti (bkz: CrowdStrike Kesintisinden Sonra: Microsoft Windows’u Yeniden Oluşturma Zamanı mı?).

Microsoft’un kurumsal ve işletim sistemi güvenliği başkan yardımcısı David Weston, Perşembe günü bir blog yazısında “Biz rakibiz; düşman değiliz,” dedi. “Dünyayı korumamız gerekenler düşmanlardır. Bu topluluktan aldığımız destek ve girdi için minnettarız ve devam eden görüşmeler ve önümüzde yapacağımız işler için heyecanlıyız.”

Çekirdek Düzeyinde Erişimle İlgili Bilmece

Weston, Microsoft’un çekirdek dışında daha fazla güvenlik yeteneği sunarak üçüncü taraf güvenlik satıcılarının derin sistem erişimiyle ilişkili riskler olmadan sağlam araçlar sunmasını sağlamak istediğini söyledi. Windows 11’deki platform düzeyindeki iyileştirmeler, Weston’ın güvenlik açıklarını açığa çıkarabileceğini söylediği çekirdek modu işlemlerine güvenmeden daha iyi koruma sağlamayı amaçlıyor.

Weston blog yazısında “Windows 11’in iyileştirilmiş güvenlik duruşu ve güvenlik varsayılanları, platformun çekirdek modu dışında çözüm sağlayıcılarına daha fazla güvenlik yeteneği sağlamasına olanak tanıyor” dedi. “Hem müşterilerimiz hem de ekosistem ortaklarımız Microsoft’tan çekirdek modu dışında ek güvenlik yetenekleri sağlamasını istedi.”

Sophos Mühendislik Başkan Yardımcısı Neil Watkiss’e göre Windows platformu, güvenlik operasyonları için daha fazla yerleşik API sağlamak üzere üçüncü taraf çekirdek sürücüsü kullanımını en aza indirmek için gelişebilir. Dosya erişim denetimi, kayıt defteri erişimi, ağ kesintisi ve işlem davranışı izleme için API’lerin kullanılmasının, Sophos gibi tedarikçilerin çekirdek düzeyindeki bağımlılıklarını azaltırken birlikte çalışabilirliği sürdürmelerine yardımcı olabileceğini söyledi.

Watkiss Perşembe günü bir blog yazısında “Windows Platformu çekirdek sürücülerine olan ihtiyacı azaltacak şekilde evrimleşirse, bu işlevselliğin dahil edilmesi faydalı olabilir” dedi. “Bu evrim muhtemelen açık iletişim gerektirecek bir süreçtir. Ayrıca, değişikliklerin uygulanmasının kötü niyetli varlıkların herhangi bir değişikliği nasıl baltalayabileceği konusunda dikkatli bir değerlendirme gerektireceğini de belirtiyoruz.”

Sophos’un şu anda Windows’ta güvenliği ve sistem performansını korumak için beş çekirdek sürücüsü kullandığını, bunun derin sistem entegrasyonuna olanak tanıdığını ve kötü amaçlı yazılımlara karşı koruma, işlem günlüğü tutma, kurcalamaya karşı koruma ve ağ güvenliğini etkinleştirdiğini söyledi. Bu çekirdek sürücülerinin sistem güvenliğini ve istikrarını sağlamak, yüksek doğrulukta olay kaydı ve işlemler ve ağ trafiği üzerinde kontrol sağlamak için kritik öneme sahip olduğunu söyledi.

“Sophos, bazıları platformun iç yapısına derinlemesine inen bir dizi tekniğin birleşimini kullanarak temeldeki Windows platformuyla etkileşim kurar: çekirdek sürücüleri, kullanıcı alanı kancalama ve diğer teknikler,” dedi Watkiss. “Genel olarak konuşursak, çekirdek sürücüleri tarafından sağlanan sistem erişimi, modern bir siber güvenlik ürününün kullanıcılarının beklediği güvenlik işlevlerini sağlamak için gereklidir.”

Yazılım Güncellemelerini Kademeli Olarak Yayınlamak Neden Önemlidir

Salı günkü toplantıda ayrıca, kesintileri en aza indirirken güvenliği sağlamak için Windows ekosistemindeki güncelleme süreçlerinin iyileştirilmesi ele alındı ​​ve Microsoft ile Broadcom ve Sophos dahil diğer uç nokta güvenlik satıcıları, sorunlar oluşması durumunda güncellemeleri güvenli bir şekilde dağıtmak ve geri alma işlemlerini yönetmek için en iyi uygulamaları paylaştı. Güvenlik satıcıları için ortak bir çerçeve oluşturmak, müşteri güvenliğini ve sistem dayanıklılığını artıracaktır.

Weston, “Temel güvenli dağıtım uygulaması veya SDP, müşterilere gönderilen güncellemelerin kademeli ve aşamalı dağıtımıdır” dedi. “Zirvedeki bu zengin tartışma, MVI’mızla iş birliği içinde devam edecek [Microsoft Virus Initiative] “Gelecekte ekosistem olarak kullanacağımız en iyi uygulamaları içeren ortak bir set oluşturmak için ortaklarla bir araya geleceğiz.”

CrowdStrike, arızalı yazılım güncellemesini tüm müşterilerine aynı anda göndererek sorunun kapsamını önemli ölçüde artırdı. Şirket, kesintinin kök neden analizini yayınladı ve tekrarını önlemek için dahili test uygulamalarını güçlendirmek ve yazılım güncellemelerini gruplar halinde yayınlamak da dahil olmak üzere birden fazla değişiklik yaptığını söyledi (bkz: CrowdStrike, Kesinti Etkisini Azaltmak İçin Güvenlik Önlemlerini Başlatıyor).

“Onlar açık bir ekosistem sağlayıcısı. Ve biz güvenlik pazarındaki oyunculardan biriyiz,” dedi CrowdStrike kurucu ortağı ve CEO’su George Kurtz Çarşamba günü Goldman Sachs Communacopia ve Teknoloji Konferansı’nda. “Ancak güvenlik pazarı, bu ekosistemi genişletmenin ve daha fazla dayanıklılık oluşturmanın başka yollarını düşünmek için nasıl bir araya geliyor?”

Weston, Salı günkü zirvede uç nokta güvenlik satıcılarının ürün sağlık bilgilerini paylaşmak ve büyük siber güvenlik olaylarına yanıt olarak kurtarma çabalarını koordine etmek için standartlaştırılmış süreçler oluşturmayı amaçladığını söyledi. Microsoft’un güvenlik ekosistemi ortakları için daha fazla test, çeşitli yapılandırmalarda daha iyi hesaplanabilirlik ve daha etkili olay yanıtına olan ihtiyacı vurguladı.

Weston blog yazısında, “Ortak müşterilerimiz Windows için seçenekler ve güvenlik ürünleri için tercihler olduğunda fayda sağlıyor,” dedi. “Piyasadaki uç nokta ürünlerinin çokluğu göz önüne alındığında, ürünlerimizin nasıl çalıştığı, güncellemeleri nasıl ele aldığı ve kesintileri nasıl yönettiği hakkında bilgileri açıkça paylaşarak dayanıklılığı artırma konusunda hepimizin bir sorumluluğu olduğu açıktı.”