显然,在2024年7月,由于CrowdStrike的故障导致的全球蓝屏事件给微软留下了难以磨灭的印象,这促使公司深入审视了EDR(端点检测与响应)技术在产品设计和实施中的潜在风险,特别是与操作系统内核交互的风险。微软随后宣布,将在Windows 11中引入新的平台功能,并特别强调安全供应商应在“内核模式之外”进行操作,以防止类似事件的重演。鉴于微软无法再承受蓝屏事件的冲击,公司必须确保EDR工具不会因更新或其他操作导致系统崩溃或不稳定。
安全供应商在不进入内核模式的情况下运行安全产品,有助于降低恶意软件利用内核漏洞的风险,从而提升整体系统的安全性。尽管具体细节尚未公开,但微软将“安全置于Windows内核之外”的意图已十分明确。
众所周知,在经历了多次安全事件后,微软在今年8月提出了“安全至上”的核心价值观,并将安全工作与员工绩效评估挂钩,将安全作为公司的核心优先事项。微软副总裁David Weston表示,此次重新设计被视为实现长期韧性和安全目标的一部分。这表明微软不仅在解决当前问题,而且在为未来的安全挑战做准备。据此可以推测,安全产品将不再有机会重新进入Windows内核,微软也将持续推动新的EDR标准和最佳实践。
正如David Weston在峰会上所强调的,Windows 11在安全姿态和默认安全设置上的改进,为解决方案提供商在内核模式之外提供了更多的安全功能,并强调EDR供应商在更新时必须采用微软所称的“安全部署实践(SDP)”。
SDP的核心原则之一是,通过逐步和分阶段的方式向客户部署更新,并使用“多样化的端点进行有节制的推出”,必要时还能提供暂停或回滚更新的能力。难怪有安全专家称,这次安全更新几乎等同于微软对外界展示其对全球蓝屏事件的态度和回应。
为确保新设计的EDR供应商访问权限的安全,微软将遵循最小权限原则,仅授予EDR工具执行其功能所必需的最低权限,以规避潜在风险。通过使用隔离和沙箱技术,可以确保EDR工具即使出现故障也不会影响到系统的其他部分。这样,即使EDR供应商的软件出现问题,也不会导致整个系统崩溃。
此外,微软可能会要求EDR供应商遵循安全开发生命周期,并定期对EDR供应商的代码进行审查,确保他们的软件在设计、编码、测试和部署过程中都融入了安全性。通过集成SIEM系统,也可以监控EDR工具的活动,及时发现异常行为,并采取相应的响应措施。
发表评论 取消回复