Μετά το περιστατικό Crowdstrike τον Ιούλιο του 2024, στο οποίο εκατομμύρια μηχανές Windows κατέρρευσαν λόγω χαλασμένης ενημέρωσης λογισμικού για το λογισμικό προστασίας τελικών σημείων της, ο ανώτερος αντιπρόεδρος της εταιρείας για επιχειρήσεις αντιμετώπισης αντιπάλου, Adam Meyers, εμφανίστηκε σε ακρόαση της υποεπιτροπής για την ασφάλεια στον κυβερνοχώρο στη Βουλή των Αντιπροσώπων για λένε ότι η εταιρεία λυπήθηκε βαθιά.
Ο Μάγιερς αφέθηκε να καταθέσει απουσία του Διευθύνοντος Συμβούλου Τζορτζ Κουρτς ο οποίος, περ Το Μητρώο, αρνήθηκε να καταθέσει. Εξηγώντας το θέμα στους νομοθέτες, ο Meyers είπε ότι η εταιρεία κυκλοφόρησε 10 έως 12 ενημερώσεις περιεχομένου, όπως αυτή που προκάλεσε το σημαντικό περιστατικό, ανά ημέρα, και ότι μια «τέλεια καταιγίδα θεμάτων», που περιγράφεται στη γραπτή του κατάθεση (PDF), συνωμότησαν για να θέσουν σε κατάρρευση πολλά από τα συστήματα πληροφορικής του κόσμου, απαιτώντας χειροκίνητη επιδιόρθωση.
Ισχυρίστηκε ότι αυτές οι ενημερώσεις περιεχομένου ήταν τώρα υπό αυξημένο έλεγχο για να διασφαλιστεί ο ποιοτικός έλεγχος, αλλά οι νομοθέτες παραμένουν πεπεισμένοι ότι η πρόσβαση σε επίπεδο πυρήνα στα Windows – αυτό που επέτρεψε να συμβεί το περιστατικό – είναι απαραίτητη, αλλά ο Meyers εξήγησε ότι βλέπει ορατότητα σε όλες τις πτυχές της λειτουργίας σύστημα τόσο ζωτικής σημασίας για τη λειτουργία του Crowdstrike.
Πρόσβαση σε επίπεδο πυρήνα στην ασφάλεια τελικού σημείου
“Μπορείτε να παρέχετε επιβολή, με άλλα λόγια, την πρόληψη απειλών και να διασφαλίσετε την καταπολέμηση της παραβίασης”, είπε ο Meyers, τονίζοντας ότι η παραβίαση σε επίπεδο πυρήνα ήταν ακριβώς η αιτία του ransomware επιθέσεις στα συστήματα υπολογιστών της MGM Resort International που συνδέονται με τα καζίνο και τα ξενοδοχεία τους.
Παρά το γεγονός ότι αυτές οι επιθέσεις εξακολουθούσαν να λαμβάνουν χώρα (αν και δεν είναι σαφές ποια ακριβώς μέτρα κυβερνοασφάλειας είχε λάβει η MGM Resorts), ο Meyers συνέχισε να υποστηρίζει την πρόσβαση σε επίπεδο πυρήνα ισχυριζόμενος ότι η ομάδα των υπεύθυνων απειλών, Scattered Spider, “χρησιμοποιεί νέες τεχνικές για να αναβαθμίσουν τα προνόμιά τους ώστε να απενεργοποιούν τα εργαλεία ασφαλείας σε τακτική βάση.”
«Προκειμένου να μην συμβεί αυτό», είπε, «θα συνεχίσουμε να αξιοποιούμε την αρχιτεκτονική του λειτουργικού συστήματος».
Έτσι, τελικά, τίποτα δεν έχει αλλάξει, αλλά ειδικοί σε θέματα ασφάλειας σε άλλες εταιρείες λογισμικού κυβερνοασφάλειας υποστηρίζουν ότι το ζήτημα δεν είναι η πρόσβαση σε επίπεδο πυρήνα, αλλά ο τρόπος διαχείρισής της, με Το Μητρώο σημειώνοντας ότι η Trellix προωθεί ενημερώσεις σε επίπεδο πυρήνα μόνο μία φορά το τρίμηνο.
Δεδομένης της έκτασης της ζημιάς σε υποδομές ζωτικών συστημάτων· συμπεριλαμβανομένων των ακυρωμένων πτήσεων της Delta που επηρεάζουν μισό εκατομμύριο άτομα, ίσως δεν προκαλεί έκπληξη το γεγονός ότι η Microsoft προσπαθεί να παρέχει πρόσθετες δυνατότητες ασφαλείας εκτός της λειτουργίας πυρήνα στο μέλλον.
VIA: TechRadar.com/
