Op 10 september organiseerde Microsoft een securitytop. Afgeschermd van de media besprak het bedrijf maatregelen tegen een herhaling van de wereldwijde IT-storing van 19 juli. De opbrengst is vooralsnog bescheiden. Naar buiten toe valt Microsoft samen met securityvendoren vooral in herhaling zonder een uitweg te bieden.
Aan de kwaliteit van de deelnemers aan de Windows Endpoint Security Ecosystem Summit lag het in ieder geval niet. Naast Microsoft en CrowdStrike waren ook vertegenwoordigers aanwezig van Broadcom, ESET, SentinelOne, Sophos, Trellix en Trend Micro.
Niet goed geluisterd?
Op sommige punten komen de Microsoft-bevindingen vooral over als een draai om de oren voor CrowdStrike. Dat zal niet per se de bedoeling zijn geweest, aangezien de toon nadrukkelijk coöperatief is. Microsoft suggereert immers dat het gehele ecosysteem aan partners samen leren van elkaars bevindingen. Toch is niet te negeren dat de aangehaalde best practices bekend als wat zijn. Denk aan Safe Deployment Practices (SDP’s) die al jaren uitgestippeld zijn in officiële documentatie. Met andere woorden: elke vendor was al ingelicht over hoe security op Windows uitgevoerd diende te worden.
De CrowdStrike-update die 8,5 miljoen Windows-apparaten platlegde op 19 juli jongstleden, volgde deze SDP’s niet. Elke gebruiker ontving namelijk zonder eigen inbreng een update aan de CrowdStrike Falcon-sensor die Windows-systemen vloerde. Inmiddels is het wel mogelijk om zelf te bepalen wanneer deze sensor van nieuwe security-informatie wordt voorzien. Dat volgt in ieder geval de SDP op waarin Microsoft voorstelt om updates stapsgewijs uit te rollen en waar nodig terug te draaien. Het is een basale eis, zoals al eerder vermeld.
Lees verder: CrowdStrike onthult reden voor wereldwijde Windows-problemen
Korte en lange termijn
Wie de nieuwe Microsoft-blog in isolatie bekijkt, ziet weinig problemen. Het kan nooit kwaad om best practices en richtlijnen te herhalen. Ook lieten Broadcom, Sophos en Trend Micro weten hoe zij invulling geven aan veilige deployment. Als collectief tracht de Microsoft Virus Initiative (MVI) hieruit de lessen te trekken waar alle vendoren van kunnen profiteren.
Dat is de voornaamste opbrengst op de korte termijn. Verder wil Microsoft sneller en helderder coördineren met industriespelers om kritieke componenten veilig te houden. Als stip op de horizon wijst de techreus naar de securitymogelijkheden binnen Windows 11 die vendoren op termijn in staat stelt om minder te hoeven doen in kernel mode, de stand waarin een enkele softwarefout voor een Blue Screen of Death (BSOD) kan zorgen.
Eerst zien, dan geloven
Zoals gezegd bleef de pers buiten de deur voor de Windows Endpoint Security Ecosystem Summit. Wellicht gaf dit vendoren de kans om explicieter te zijn over de precieze pijnpunten. Toch acht Microsoft het noodzakelijk de opbrengsten te vermelden, en wel op vrij korte termijn. Die zijn, zoals nu verwoord, karig. Het kan goed dat dit geen recht doet aan de werkelijke vooruitgang die op 10 september plaatsvond. Maar dat valt helaas niet te beoordelen.
We hopen dat er meer concrete oplossingen aan bod zijn gekomen, zoals een Windows-equivalent van eBPF. Deze Linux-modus staat het securityvendoren toe om acties op kernel-niveau uit te voeren (zoals het controleren van bestanden in systeemgeheugen) zonder daadwerkelijk in kernel mode te zitten. Dit omzeilt de noodgreep waarin het OS het systeem laat crashen als de uitgevoerde code mogelijk schadelijke effecten heeft.
Hierdoor is de berichtgeving vooral een impliciete suggestie dat alles eigenlijk al perfect was uitgedacht door Microsoft, maar dat we als collectief niet goeg genoeg luisteren.
Het creëert een eigen werkelijkheid waarin er nooit een mea culpa verschijnt. Had Microsoft bijvoorbeeld niet veel duidelijker kunnen zijn over deze best practices? Het moet namelijk al sinds 2009 door toedoen van de EU derden toestaan om in kernel mode te opereren. Waarom was het omzeilen van de Windows Hardware Certification (WHQL)-vereisten zo eenvoudig als een zijdelingse update? Hoe kon CrowdStrike dit jaren doen zonder dat Microsoft de potentiële problemen hiervan zag?
Dit is een hardnekkige kwestie: wie immers de grote securityflaters van het bedrijf bekijkt, komt al gauw tekst en uitleg tegen vanuit Microsoft dat weigert de eigen tekortkomingen te erkennen. En dit terwijl zowel Rusland als China indringend konden infiltreren in de IT-omgevingen van de techgigant.
Lees ook: Rusland valt Microsoft digitaal aan: mailaccounts ‘senior leadership’ gehackt
Verantwoordelijkheid
CrowdStrike was er snel bij om duidelijkheid te verschaffen over de veel explosievere systeemfout die het veroorzaakte op 19 juli. Toch is ook daar sprake geweest van dezelfde retoriek die de eigen prestaties opklopt, de gemaakte fouten bagetalliseert en de schuld grotendeels elders legt. Dit kan uit juridische overwegingen zijn, wetende dat Delta Airlines bijvoorbeeld een veel grotere tegemoetkoming verwacht dan waar CrowdStrike toe bereid is.
Het is vanzelfsprekend zo dat ook organisaties als eindgebruikers een verantwoordelijkheid dragen. Dit punt komt eveneens naar voren in de recente Microsoft-blog. Echter is het niet verwonderlijk dat klanten in slaap zijn gesust op dit gebied. Vendoren die fikse beloftes maken en zich diep in de IT-systemen wagen, eisen een verantwoordelijkheid en afhankelijkheid op waar eindgebruikers op moeten vertrouwen. De beloftes van snelle, alomvattende security zijn immers net zo hoogdravend als de taal die Microsoft, CrowdStrike en anderen hanteren om na incidenten de reputatie hoog te houden. Een cultuuromslag op dat punt zou zeer gewenst zijn, maar blijft vooralsnog uit.
Lees ook: Moet CrowdStrike betalen voor de wereldwijde IT-storing?