Microsoft heeft plannen aangekondigd om wijzigingen aan te brengen in Windows, zodat beveiligingsleveranciers zoals CrowdStrike buiten de Windows-kernel kunnen werken.
Deze week vond een beveiligingstop plaats op het hoofdkantoor van Microsoft in Redmond waar de impact van het incident met CrowdStrike in juli werd besproken.
De toegang tot de Windows-kernel is een veelbesproken onderwerp sinds het incident waarbij 8,5 miljoen Windows-pc’s en servers uitvielen door een defecte update van CrowdStrike. CrowdStrike’s software draait op kernelniveau, het hart van een besturingssysteem met volledige toegang tot geheugen en hardware. Dit zorgde ervoor dat een fout in de software leidde tot een Blue Screen of Death op getroffen systemen.
Sinds dit incident pleit Microsoft voor wijzigingen in Windows om de veerkracht te verbeteren. Er is druk vanuit zowel partners als toezichthouders om deze veranderingen niet eenzijdig door te voeren. Tijdens de top werd besproken hoe Microsoft samen met beveiligingsleveranciers zoals Broadcom, Sophos en Trend Micro een nieuw platform kan ontwikkelen dat voldoet aan de behoeften van beveiligingsbedrijven, zonder toegang tot de kernel.
David Weston, vicepresident van enterprise- en OS-beveiliging bij Microsoft, verklaart: “Zowel onze klanten als partners hebben Microsoft gevraagd om extra beveiligingsmogelijkheden buiten de kernelmodus, die samen met veilige uitrolpraktijken kunnen worden gebruikt om betrouwbare beveiligingsoplossingen te creëren.”
lees ook
Crowdstrike CTO aanvaardt ‘Most Epic Fail’-trofee op hackerconferentie Def Con
Samenwerking met partners
Microsoft onderzoekt de prestatie-eisen en uitdagingen voor beveiligingsleveranciers om buiten de kernel-modus te opereren, evenals de noodzaak van anti-tamper-beveiliging en sensoren voor beveiligingsproducten. Weston benadrukte dat Microsoft samen met partners verder werkt aan de ontwikkeling van een nieuw platform, met als doel de betrouwbaarheid te verbeteren zonder concessies te doen aan de beveiliging.
Hoewel Microsoft niet direct zegt dat het kerneltoegang volledig zal blokkeren, lijken de plannen wel te wijzen op een toekomst waarin leveranciers zoals CrowdStrike buiten de kernel moeten opereren. Dit is niet de eerste keer dat Microsoft dergelijke stappen onderneemt volgens The Verge. In 2006 probeerde het al kerneltoegang te beperken met Windows Vista, maar dit stuitte destijds op verzet van beveiligingsleveranciers en toezichthouders.
Deze keer lijkt de sector echter meer open te staan voor de veranderingen. Zo noemde Sophos CEO Joe Levy de summit een goede gelegenheid voor samenwerking en noemde hij de discussies belangrijk voor het verbeteren van de veerkracht van het Windows-ecosysteem. Kevin Simzer van Trend Micro prees Microsoft voor de openheid en samenwerking met de sector.
CrowdStrike, dat aan de basis van de discussie stond, waardeerde ook de samenwerking. Drew Bagley van CrowdStrike zei dat de top een belangrijke stap was om te komen tot een meer open en weerbaar Windows-beveiligingsecosysteem.
lees ook
Hackers komen niet meer langs de achterdeur, maar door je voordeur naar binnen
Bezorgdheid in de sector
Niet iedereen is echter blij met de mogelijke veranderingen. Matthew Prince, CEO van Cloudflare, uitte eerder zijn zorgen over de potentiële monopoliepositie van Microsoft op het gebied van endpointbeveiliging. Hij waarschuwde dat Microsoft de Windowskernel voor derden zou kunnen afsluiten, terwijl het zijn eigen beveiligingsoplossingen voorkeursbehandeling geeft.
Microsoft is zich bewust van deze zorgen en nodigde daarom ook vertegenwoordigers van de Amerikaanse en Europese overheden uit om deel te nemen aan de discussies tijdens de top. De ontmoeting vond plaats tegen de achtergrond van een bredere herziening van de cybersecurity bij Microsoft, waarbij medewerkers nu beoordeeld worden op hun bijdrage aan beveiliging.