Microsoft quiere evitar los problemas en PC que originó el caso de CrowdStrike y planea sacar a las empresas de seguridad del kernel de Windows
Microsoft ha anunciado que planea realizar modificaciones en Windows para mejorar la seguridad, permitiendo a empresas como CrowdStrike y otros proveedores operar sin depender del kernel del Sistema Operativo. Esta decisión surge tras una cumbre de seguridad organizada por la compañía en su sede en Redmond, donde se discutieron cambios necesarios tras un incidente grave con CrowdStrike en julio, que afectó a 8,5 millones de PCs y servidores. ¿Es buena o mala idea sacar a las empresas de seguridad del kernel de Windows solo porque hubo un error mundial?
El problema radica en que el software de CrowdStrike funciona directamente en el núcleo de Windows, el área central del SO que, como sabemos, tiene acceso total a la memoria y al hardware. Una actualización defectuosa provocó fallos masivos, generando pantallas azules de la muerte (BSOD) en los sistemas afectados. Ante este hecho, Microsoft ha propuesto realizar ajustes en Windows para que los proveedores de seguridad no necesiten operar en el núcleo, lo que podría evitar futuros incidentes similares.
Microsoft sacará a las empresas del kernel de Windows “por seguridad”
Sacar del acceso al kernel a los que aseguran la seguridad del SO más atacado del mundo y diversos software anexos. No parece muy buena idea, y aunque Microsoft ha trabajado en mejorar la resiliencia del sistema, las decisiones unilaterales no han sido bien recibidas por socios y reguladores, quienes han presionado para que la compañía busque una solución consensuada.
En respuesta, Microsoft ha iniciado conversaciones con proveedores de seguridad como CrowdStrike, Broadcom, Sophos y Trend Micro, para desarrollar una nueva plataforma de seguridad que cumpla con las necesidades de todos los actores.
David Weston, vicepresidente de seguridad empresarial en Microsoft, declaró que tanto los clientes como los socios han solicitado una mayor capacidad de seguridad fuera del modo kernel, que permita desarrollar soluciones más robustas y confiables. Microsoft se comprometió a seguir colaborando con estos socios para diseñar una plataforma que ofrezca mayor fiabilidad sin comprometer la seguridad, pero evidentemente esto no será nada fácil.
Microsoft lo intentó con Windows Vista… Y no pudo, ¿qué ha cambiado desde entonces?
Aunque la empresa no ha confirmado explícitamente que bloqueará el acceso al núcleo de Windows, está claro que está trabajando en una plataforma de seguridad que eventualmente podría sacar a los proveedores de este nivel tan crítico de Windows. Este tipo de restricciones ya se intentaron en el pasado con Windows Vista en 2006, pero entonces la oposición de los proveedores de seguridad y reguladores fue muy fuerte. Sin embargo, en esta ocasión, la industria parece más dispuesta a aceptar el cambio tras ver el desastre provocado por CrowdStrike.
Joe Levy, director ejecutivo de Sophos, destacó la importancia de la colaboración entre los distintos actores del sector, señalando que la cumbre fue una oportunidad para debatir sobre cómo mejorar la resiliencia tanto de Windows como del ecosistema de seguridad de endpoints. Kevin Simzer, director de operaciones de Trend Micro, también elogió a Microsoft por su apertura a la colaboración con los líderes en seguridad de endpoints.
Incluso CrowdStrike, que fue el detonante del incidente que llevó a la cumbre, agradeció a Microsoft por incluirles en las discusiones y por trabajar juntos en la construcción de un sistema más seguro.
No hay consenso, nadie está contento por ahora, no será fácil llegar a un acuerdo entre todos
A pesar de estos avances, no todos están conformes con los posibles cambios. Matthew Prince, CEO de Cloudflare, expresó su preocupación sobre el riesgo de que Microsoft limite el acceso al núcleo de Windows solo para su propio software de seguridad, lo que podría crear una situación en la que la compañía obtenga una ventaja desleal sobre otros proveedores.
Prince señaló que un entorno en el que solo Microsoft puede ofrecer una seguridad eficaz no necesariamente es más seguro. La cumbre de seguridad organizada por Microsoft llega en un momento clave para la empresa, que ha estado bajo escrutinio tras varios incidentes de ciberseguridad.
Además, la empresa ha comenzado a vincular el desempeño de sus empleados a su capacidad para implementar mejoras en la seguridad, en un esfuerzo por mejorar su reputación y evitar más fallos en el futuro. ¿Crees que es mejor que varios proveedores implementen sus soluciones de seguridad a nivel de kernel? O en cambio, ¿es mejor que solo Microsoft tenga acceso a él por la propia seguridad e integridad del kernel dejando a las empresas fuera de este apartado de Windows?