Post-CrowdStrike Fallout: Microsoft Redesigning EDR Vendor Access to Windows Kernel
2024/09/13 SecurityWeek — Microsoft が発表した計画は、CrowdStrike のアップデートの不具合により、7月に発生した世界的な IT 障害に対応するものであり、Windows カーネルとマルウェア対策製品との連携方法を再設計するものである。現時点においては、この再設計に関する技術的な詳細は公表されていない。しかし Microsoft は、セキュリティ・ベンダーが “outside of kernel mode” を活用するための、新たなプラットフォームとしての機能を Windows 11 に搭載し、ソフトウェアの信頼性を確保する予定だとしている。
Microsoft が EDR ベンダー向けに開催した Windows Endpoint Security Ecosystem Summit の後に、同社の VP である David Weston は、レジリエンスとセキュリティの目標を達成するための長期的なステップとして、Windows の一部を調整すると説明している。
EDR Summit 後のメモで David Weston は、「Windows 11 でセキュリティへの投資を積み重ねてきたが、新たに搭載するプラットフォームとしての機能についても検討している。それは、Windows 11 のセキュリティにおける取り組みとデフォルトの改善により、”outside of kernel mode” を活用するソリューション・プロバイダーに対して、より多くのセキュリティ機能を提供するものになる」とコメントしている。
この再設計の目的は、CrowdStrike のソフトウェア更新の不具合により、グローバルにおいて Windows システムが機能不全に陥り、数十億ドルの損失を引き起こしたインシデントの再発を防ぐことにある。
CrowdStrike の障害を引き合いに出しながら、Weston が緊急性を強調したのは、今後において EDR ベンダーが、Windows の広大なエコシステムにアップデートを展開する際に、Microsoft の “Safe Deployment Practices (SDP)” を採用することにある。
SDP 原則のコアとなるのは、”顧客に送信されるアップデートの段階的な展開” であり、”多様なエンドポイントにおける慎重な展開” の採用と、”必要に応じたアップデートの一時停止とロールバックの能力” であると、彼は述べている。
Weston は、「Microsoft とパートナーの間で行われた議論の内容は、重要なコンポーネントのテストを増やす方法/多様なコンフィグにおける互換性テストの改善/開発中の製品と市場に出回っている製品の健全性に関する情報共有の推進/インシデント対応の有効性を高めるための緊密な連携と復旧の手順などである」と付け加えている。
具体的に言うと、”outside of kernel mode” 動作におけるパフォーマンスの課題/セキュリティ製品の改ざん防止保護の問題/セキュリティ・センサーの要件/将来のプラットフォームにおける Secure-by-Dsign の目標などについて、Microsoft とパートナー企業の間で話し合いが行われたとのことだ。
もし、”outside of kernel mode” で話がまとまるなら、そして、EDR の機能が損なわれないなら、それが一番良い方法だと思います。ただ、気になるのは Defender はどうなるのかという点です。文中のリンクから、Microsoft のブログを参照したところ、”Microsoft Defender for Endpoint publishes SDPs and many of our ecosystem partners such as Broadcom, Sophos and Trend Micro have shared how they approach SDPs as well” という記述のみが見つかりました。ちょっと、よく分からないという感じです。よろしければ、CrowdStrike で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.