Инцидент с Crowdstrike может оказать серьезное влияние на глобальную безопасность Windows. Основная часть критики и негативных комментариев обрушилась на Microsoft в связи с проблемами, возникшими из-за неверного обновления, выпущенного компанией из Остина. Это побудило разработчика ОС обсуждать меры по улучшению ее устойчивости. Несмотря на существующие нормативные рамки, похоже, что эксперты намерены значительно усложнить доступ к ядру Windows.
Основной причиной инцидента стало неисправное обновление Falcon Sensor, функционирующее на уровне ядра и предназначенное для выявления угроз. Когда драйвер ядра дает сбой, это может привести к поломке всей ОС, несмотря на усилия Microsoft предотвратить такие ситуации. В недавно анонсированных инициативах по безопасности от Microsoft выделяется функция VBS enclave, использующая Hyper-V и виртуализацию Windows для создания защищенной области памяти, в которой можно изолировать приложения и процессы. Кроме того, служба Microsoft Azure Attestation позволяет удостовериться в доверии платформы и целостности ее двоичных файлов.
Хотя Microsoft осторожно выбирает формулировки, очевидно, что компания стремится сделать Windows более похожей на macOS, ограничивая доступ к ядру для внешних решений безопасности. Модель "нулевого доверия", применяемая в VBS и MAA, обеспечивает безопасность Windows без необходимости доступа к ядру, и Microsoft намерена продолжать развитие этой функции.
Кроме того, Microsoft предложила рекомендации по улучшению устойчивости организаций и предотвращению возможных угроз, подобных инциденту с CrowdStrike. Работодатели должны внедрить стратегии обеспечения бесперебойной работы и реагирования на инциденты, регулярно выполнять надежное резервное копирование данных и обеспечивать возможность быстрого восстановления устройств под управлением Windows.
