Microsoft belicht Windows Security best practices na Crowdstrike storing
Microsoft gaat de afhankelijkheid van cybersecurityleveranciers van kernel-mode code, die de oorzaak was van de IT-storing door CrowdStrike, verminderen.
David Weston, Vice President, Enterprise and OS Security bij Microsoft meldt in een blogpost: 'Windows is een open en flexibel platform dat door veel van 's werelds beste bedrijven wordt gebruikt voor toepassingen met hoge beschikbaarheid, waarbij beveiliging en beschikbaarheid ononderhandelbaar zijn.
Om aan deze behoeften te voldoen:
- Windows biedt een reeks werkingsmodi waaruit klanten kunnen kiezen. Dit omvat de mogelijkheid om te beperken wat er kan worden uitgevoerd tot alleen goedgekeurde software en drivers. Dit kan de beveiliging en betrouwbaarheid verhogen door Windows te laten werken in een modus die dichter bij mobiele telefoons of apparaten ligt.
- Klanten kunnen kiezen voor geïntegreerde beveiligingsbewaking en detectiemogelijkheden die bij Windows zijn inbegrepen. Of ze kunnen ervoor kiezen om deze beveiliging te vervangen of aan te vullen met een breed scala aan keuzes uit een levendig open ecosysteem van leveranciers.
In deze blogpost onderzoeken we de recente CrowdStrike-storing en geven we een technisch overzicht van de hoofdoorzaak. We leggen ook uit waarom beveiligingsproducten tegenwoordig kernel-mode drivers gebruiken en welke veiligheidsmaatregelen Windows biedt voor oplossingen van derden. Daarnaast delen we hoe klanten en beveiligingsleveranciers de geïntegreerde beveiligingsmogelijkheden van Windows beter kunnen benutten voor meer beveiliging en betrouwbaarheid. Tot slot bieden we een kijkje in hoe Windows de uitbreidbaarheid van toekomstige beveiligingsproducten zal verbeteren.
CrowdStrike publiceerde onlangs een Preliminary Post Incident Review waarin hun storing werd geanalyseerd. In hun blogpost beschrijft CrowdStrike de hoofdoorzaak als een geheugenveiligheidsprobleem, met name een read out-of-bounds access violation in de CSagent-driver. We maken gebruik van de Microsoft WinDBG Kernel Debugger en verschillende extensies die gratis beschikbaar zijn voor iedereen om deze analyse uit te voeren. Klanten met crashdumps kunnen onze stappen reproduceren met deze tools.'