Tidak diragukan lagi bahwa kegagalan besar CrowdStrike-Windows pada bulan Juli 2024 merupakan bencana ekonomi. Itu adalah kegagalan TI terbesar dalam sejarah. Dampaknya mengganggu sistem perbankan, jaringan layanan kesehatan, dan jaringan transportasi udara global. Seperti yang dijelaskan dalam analisis pascainsiden, hal itu sepenuhnya dapat dicegah.
Juga: Berhenti membayar perangkat lunak antivirus. Inilah alasan mengapa Anda tidak membutuhkannya
Setelah insiden tersebut, Microsoft menyelenggarakan Windows Endpoint Security Ecosystem Summit selama sehari yang diadakan awal minggu ini di kantor pusatnya di Redmond. Tujuan dari acara tertutup tersebut, yang tidak terbuka untuk pers atau pengamat luar, adalah untuk mempertemukan apa yang disebut Microsoft sebagai “sekelompok vendor keamanan endpoint dan pejabat pemerintah dari AS dan Eropa untuk membahas strategi guna meningkatkan ketahanan dan melindungi infrastruktur penting milik pelanggan bersama kami.”
Apakah ada hal bermanfaat yang didapat dari sesi ini? Siapa tahu? David Weston, VP Keamanan Perusahaan dan OS Microsoft, menyampaikan ringkasan sesi yang jelas-jelas dihapus oleh para pengacara dan profesional komunikasi hingga yang tertinggal hanyalah pesan perusahaan yang optimis dan beberapa petunjuk samar (“tema utama dan titik konsensus”) tentang apa yang mungkin terjadi di Windows dan dalam produk keamanan titik akhir … suatu hari nanti, tetapi mungkin tidak dalam waktu dekat.
Juga: Mengapa NSA menyarankan Anda untuk mematikan telepon Anda seminggu sekali
Sebagaimana dicatat dalam laporan tersebut, diskusi panel “bukanlah pertemuan untuk membuat keputusan … kami membahas kompleksitas lanskap keamanan modern, dan mengakui bahwa tidak ada solusi sederhana.” Namun, satu tema yang tergambar dalam ringkasan pertemuan tersebut adalah kesadaran kolektif bahwa industri tidak mampu menanggung insiden CrowdStrike lainnya.
Itu Insiden CrowdStrike pada bulan Juli menggarisbawahi tanggung jawab vendor keamanan untuk mendorong ketahanan dan perlindungan yang tangkas dan adaptif. … Kami menghadapi serangkaian tantangan umum dalam meluncurkan pembaruan dengan aman ke ekosistem Windows yang besar, mulai dari memutuskan cara melakukan peluncuran yang terukur dengan serangkaian titik akhir yang beragam hingga mampu menjeda atau mengembalikan jika diperlukan. Inti [Safe Deployment Practices] Prinsipnya adalah penerapan pembaruan yang dikirimkan ke pelanggan secara bertahap dan bertahap.
Itu adalah kritik langsung terhadap CrowdStrike, yang menyebabkan gangguan TI karena meluncurkan pembaruan yang cacat ke seluruh perangkatnya alih-alih menggunakan penerapan bertahap yang dapat mengidentifikasi masalah sejak dini dan mematikan pembaruan untuk meminimalkan kerusakan yang meluas.
Ada sedikit lebih banyak warna dalam komentar dari peserta rapat yang ditambahkan di akhir posting blog perusahaan Microsoft, seperti ledakan ini dari Ric Smith, Chief Product and Technology Officer dari pesaing CrowdStrike, SentinelOne:
SentinelOne mengucapkan terima kasih kepada Microsoft atas kepemimpinannya dalam menyelenggarakan Windows Endpoint Security Ecosystem Summit dan kami berkomitmen penuh untuk membantu mendorong tujuannya dalam mengurangi kemungkinan terjadinya peristiwa di masa mendatang seperti yang disebabkan oleh CrowdStrikeKami percaya bahwa transparansi itu penting dan sangat setuju dengan Microsoft bahwa perusahaan keamanan harus mematuhi standar rekayasa, pengujian, dan penerapan yang ketat serta mengikuti praktik terbaik pengembangan dan penerapan perangkat lunak. Kami bangga bahwa kami telah mengikuti proses yang telah dibahas Microsoft hari ini selama bertahun-tahun dan akan terus melakukannya di masa mendatang. [emphasis added]
Aduh.
Namun, yang jelas merupakan diskusi yang paling bersemangat adalah seputar akses mode kernel ke Windows, penyebab utama kegagalan CrowdStrike. Seperti yang saya catat beberapa bulan lalu, cakupan penghentian CrowdStrike sebagian besar disebabkan oleh arsitektur Windows:
Pengembang aplikasi tingkat sistem untuk Windows, termasuk perangkat lunak keamanan, secara historis mengimplementasikan fitur mereka menggunakan ekstensi dan driver kernel. Seperti yang diilustrasikan dalam contoh ini, kode yang salah yang berjalan di ruang kernel dapat menyebabkan kerusakan yang tidak dapat dipulihkan, sedangkan kode yang berjalan di ruang pengguna tidak dapat.
Hal yang sama juga terjadi pada MacOS, tetapi pada tahun 2020, dengan MacOS 11, Apple mengubah arsitektur OS andalannya menjadi sangat tidak menganjurkan penggunaan ekstensi kernel. Sebaliknya, pengembang didorong untuk menulis ekstensi sistem yang berjalan di ruang pengguna, bukan di tingkat kernel. Di MacOS, CrowdStrike menggunakan Kerangka Keamanan Titik Akhir Apple dan mengatakan dengan menggunakan desain itu, “Falcon mencapai tingkat visibilitas, deteksi, dan perlindungan yang sama secara eksklusif melalui sensor ruang pengguna.”
Mungkinkah Microsoft melakukan perubahan serupa untuk Windows? Mungkin saja, tetapi tindakan itu tentu akan membuat murka regulator antimonopoli, terutama di Eropa, meredam amarah.
Secara umum, postingan Microsoft mengacu pada “kemampuan platform yang direncanakan Microsoft untuk tersedia di Windows,” dengan pernyataan khusus tentang pengaturan keamanan bawaan di Windows 11 yang “memungkinkan platform untuk menyediakan lebih banyak kemampuan keamanan kepada penyedia solusi di luar mode kernel. Baik pelanggan kami maupun mitra ekosistem telah meminta Microsoft untuk menyediakan kemampuan keamanan tambahan di luar mode kernel….”
Juga: Ya, Anda dapat meng-upgrade PC lama Anda ke Windows 11, meskipun Microsoft mengatakan tidak. Pembaca ini membuktikannya
Tidak semua peserta senang dengan ide tersebut. CEO Sophos Joe Levy, misalnya, dengan sopan mengatakan, “Kami sangat senang melihat Microsoft mendukung banyak rekomendasi Sophos, berdasarkan kumpulan inovasi arsitektur dan proses yang telah kami bangun selama bertahun-tahun dan kami hadirkan hari ini pada 30 juta titik akhir Windows yang kami lindungi secara global. Pertemuan puncak tersebut merupakan langkah awal yang penting dan menggembirakan dalam perjalanan yang akan menghasilkan peningkatan bertahap dari waktu ke waktu….”
Apa saja rekomendasi tersebut? Dalam sebuah Posting blog bulan AgustusKepala Riset dan Ilmiah Sophos Simon Reed menjelaskan bahwa perusahaan menganggap akses ke kernel Windows sebagai hal yang mendasar. “Beroperasi di ‘ruang kernel’ – lapisan paling istimewa dari sistem operasi, dengan akses langsung ke memori, perangkat keras, manajemen sumber daya, dan penyimpanan – sangat penting untuk produk keamanan.” Driver kernel adalah “fundamental,” tulisnya, tidak hanya untuk produk Sophos tetapi juga untuk “keamanan titik akhir Windows yang tangguh, secara umum.”
Dalam pernyataan yang tidak dikaitkan dengan individu mana pun, ESET bahkan lebih blak-blakan:
ESET mendukung modifikasi ekosistem Windows yang menunjukkan peningkatan stabilitas yang terukur, dengan syarat bahwa perubahan apa pun tidak boleh melemahkan keamanan, memengaruhi kinerja, atau membatasi pilihan solusi keamanan siber. Tetap penting bahwa akses kernel tetap menjadi opsi untuk digunakan oleh produk keamanan siber untuk memungkinkan inovasi berkelanjutan dan kemampuan mendeteksi serta memblokir ancaman siber di masa mendatang. Kami menantikan kolaborasi berkelanjutan dalam inisiatif penting ini. [emphasis added]
Dan, pada akhirnya, itulah sebabnya tidak realistis untuk mengharapkan perubahan besar apa pun pada platform Windows dalam waktu dekat. Argumen dari Sophos dan ESET tersebut jelas diamini oleh para pemimpin di perusahaan keamanan lain, yang khawatir bahwa pembatasan akses ke kernel Windows akan memberikan keunggulan kompetitif yang krusial bagi produk perlindungan titik akhir milik Microsoft.
Juga: 7 aturan kata sandi yang harus dipatuhi pada tahun 2024, menurut pakar keamanan
Itulah jenis perdebatan yang dengan cepat dialihkan dari teknisi ke pengacara. Mengingat sejarah Microsoft dengan regulator antimonopoli di Eropa dan AS, kemungkinan besar akan berakhir di pengadilan. Mungkin itulah sebabnya “pejabat pemerintah dari AS dan Eropa” diundang hadir di pertemuan puncak tersebut, dan tidak diragukan lagi mereka mencatat.
