Microsoft a déclaré qu’il explorerait des alternatives à l’accès direct au noyau pour les partenaires suite à la panne de CrowdStrike. Mais certains professionnels du SecOps se demandent si cela évitera de nouveaux problèmes de stabilité.
La panne a commencé le 19 juillet lorsqu’un bug dans une mise à jour du logiciel Falcon de CrowdStrike sur les systèmes Windows n’a pas pu se charger correctement. Étant donné que le logiciel CrowdStrike fonctionnait en tant que pilote de périphérique dans le noyau principal du système d’exploitation Windows, également connu sous le nom de Ring Zero, son échec a provoqué une panique du noyau et une panne du système d’exploitation. En conséquence, quelque 8,5 millions de systèmes Windows sont tombés en panne dans le monde, perturbant les aéroports et les transports en commun, ainsi que les services de santé et financiers.
À la suite de l’incident, certains experts SecOps se sont demandé pourquoi Microsoft permettait à des partenaires tels que CrowdStrike d’avoir un accès direct au noyau. En revanche, une précédente mise à jour de CrowdStrike qui provoquait une panique du noyau sur les systèmes Linux mais s’exécutait en tant que programme eBPF en dehors du noyau a été corrigée par Red Hat plus tôt cette année sans de tels effets paralysants.
Une première explication de la société a fait référence à une décision antitrust de l’Union européenne de 2009 qui oblige Microsoft à accorder aux tiers le même accès à son système d’exploitation que lui. Mais à la fin de la semaine dernière, la société a indiqué qu’elle repenserait cette position.
“Cet incident montre clairement que Windows doit donner la priorité au changement et à l’innovation dans le domaine de la résilience de bout en bout”, a écrit John Cable, vice-président de la gestion des programmes pour la maintenance et la livraison de Windows chez Microsoft, dans un article de blog le 25 juillet. “Des exemples d’innovation incluent le VBS récemment annoncé [virtualization-based security] les enclaves, qui fournissent un environnement de calcul isolé qui ne nécessite pas que les pilotes en mode noyau soient inviolables, et le service Microsoft Azure Attestation, qui peut aider à déterminer l’état de sécurité du chemin de démarrage.
Avantages et inconvénients de l’accès au noyau
Le débat sur la nécessité d’accéder au noyau pour les outils de cybersécurité n’est pas nouveau, mais il a récemment fait l’objet d’une attention particulière compte tenu de la nature très médiatisée de l’incident CrowdStrike. Les partisans de l’accès au noyau affirment qu’il est nécessaire de fournir une visibilité complète du système avec des performances élevées, d’appliquer des mesures de sécurité lors du démarrage du système et de détecter les menaces telles que les bootkits et les rootkits.
“Il existe très peu de produits de sécurité qui n’ont pas accès au noyau”, a déclaré Kyler Middleton, ingénieur logiciel principal chez Veradigm, société de technologie de la santé. “Ils nécessitent une intégration très approfondie et un accès au noyau Windows afin d’assurer leur sécurité.”
Dans des scénarios tels que la mise à jour défectueuse de CrowdStrike, la défaillance du noyau est un comportement attendu et sécurisé, a déclaré Middleton.
“C’est un problème difficile à résoudre. La plupart des développeurs de noyau avec qui j’ai parlé disent que si quelque chose au niveau Ring Zero/noyau ne se charge pas, le système d’exploitation ne devrait pas se charger. Il sera dans un état peu fiable et imprévisible, ce qui pourrait entraîner un problème de sécurité”, a-t-elle déclaré.
À l’autre extrémité du spectre, certains ingénieurs logiciels estiment qu’il est grand temps pour Microsoft de proposer des alternatives à l’accès direct au noyau.
“Il n’est tout simplement pas nécessaire que tout cela s’exécute comme des modules de noyau dangereux”, a déclaré David Strauss, co-fondateur et CTO du fournisseur de services WebOps Pantheon. “Microsoft a dû, depuis 2009, faire plus que se conformer dangereusement à l’ordonnance de l’UE. Ce qu’ils auraient dû introduire, c’est un mécanisme sandbox dans le noyau ou dans l’espace utilisateur.”
Les enclaves VBS et le service Azure Attestation sont des alternatives prometteuses à la façon dont les fournisseurs de logiciels tels que CrowdStrike fonctionnent actuellement, a déclaré Strauss.
“Si CrowdStrike voulait isoler son code rapide de son module principal du noyau… ils pourraient utiliser quelque chose comme VBS pour le faire. Habituellement, il y a quelque chose comme ça dans les scanners de logiciels malveillants, même s’il ne s’agit pas de VBS, à cause du polymorphisme”, a déclaré Strauss. . « Azure Attestation adopte une approche de gestion complète de l’intégrité, ne laissant aucune place non vérifiée aux logiciels malveillants. Il s’agit d’une alternative supérieure et moderne à l’analyse des logiciels malveillants. Mais ce produit spécifique n’est disponible que sur le cloud de Microsoft. »
Pourtant, certains professionnels du SecOps doutent qu’un abandon de l’accès au noyau dans les produits plus récents empêchera de futures pannes.
“L’idée de créer des enclaves n’est pas nouvelle”, a déclaré Keith Townsend, président de The CTO Advisor, une société du Futurum Group. « Même si cela peut fonctionner en théorie, il faut déplacer l’ensemble de l’écosystème Windows, des éditeurs de logiciels indépendants jusqu’aux clients, pour adopter la nouvelle approche. Demandez à n’importe quel responsable informatique et il vous dira qu’il lui manque toujours une poignée d’applications pour pouvoir le faire. désactivez une méthode d’accès non sécurisée.”
Microsoft se heurterait par exemple à des conflits avec certains de ses propres produits s’il exigeait VBS à tous les niveaux, a déclaré Adrian Sanabria, membre du conseil d’administration de Security Tinkerers, une organisation de cybersécurité à but non lucratif.
“Je me souviens avoir dû désactiver l’intégrité de la mémoire — l’une des protections liées au VBS — pour pouvoir participer à une formation en cybersécurité, qui nécessitait l’utilisation du logiciel de virtualisation VMware”, a déclaré Sanabria. “De plus, les nouveaux ordinateurs portables basés sur Snapdragon ARM dont Microsoft fait la promotion ne peuvent pas exécuter d’antivirus tiers et ne peuvent pas utiliser… la sécurité basée sur la virtualisation à moins que vous ne désactiviez le mode sécurisé qui permet uniquement aux utilisateurs d’exécuter des logiciels approuvés à partir du MicrosoftStore.”
Est-ce SecOps ou Sec contre Ops ?
Pour un observateur du secteur, la dynamique reflétée par la panne de CrowdStrike ne concerne pas les détails techniques du fonctionnement des outils, mais plutôt un décalage organisationnel entre les équipes de sécurité informatique qui choisissent les outils et les équipes opérationnelles qui doivent répondre aux problèmes lorsque ces outils tombent en panne.
“En raison de violations notoires, comme [2014] En cas de violation de Sony Pictures, les équipes de sécurité ont obtenu beaucoup plus de pouvoir que les responsables des opérations et peuvent prescrire aux équipes opérationnelles quels produits déployer dans l’ensemble de l’environnement”, a déclaré Rich Lane, directeur informatique de la ville de Medford, Massachusetts, qui a déclaré il a vu ces tendances se développer en tant que praticien informatique dans des emplois antérieurs, comme chez Bain Capital au lendemain de la violation de Sony, et en tant que cadre chez l’éditeur de logiciels d’opérations de sécurité Netenrich “Et. [ops has] aucune possibilité de réagir et de dire : « Je pense que c’est une mauvaise idée » ou « Quelle est votre méthodologie de mise à jour ? C’est ce qui a conduit à tout ce fiasco. »
Selon Lane, le fait que Microsoft modifie son approche d’accès au noyau importe moins que le fait que les opérateurs aient une place à la table lorsque la sécurité choisit et implémente des produits, en particulier compte tenu des perturbations qu’un changement dans l’implémentation logicielle pourrait provoquer.
“[Removing kernel access is] quelque chose [Microsoft] j’aurais probablement dû le faire il y a 25 ans – la seule crainte sera : “Combien de centaines de produits cela va-t-il casser ?”, a-t-il déclaré. “.
De nombreuses failles de sécurité sont réalisées sans malware, a déclaré Sanabria. Mais les outils anti-malware sont parfois choisis pour des raisons politiques.
“En tant que RSSI, vous ne voulez jamais avoir à expliquer lors d’une violation pourquoi vous avez choisi de ne pas utiliser AV [anti-virus] logiciel », a-t-il déclaré. « De nombreux responsables de la sécurité achètent des logiciels audiovisuels tiers à des fins « CYA ». Une opportunité de partager la responsabilité de la sécurité est également une opportunité de partager la responsabilité lorsque les choses tournent mal, ce qui pourrait sauver votre travail de responsable de la sécurité. »
Pour Middleton, ces problèmes d’organisation existent à certains endroits, mais ne constituent pas non plus la principale cause de l’incident CrowdStrike.
“Je ne pense pas qu’il s’agisse d’un cas de “mauvais produit””, a-t-elle déclaré. “De toute évidence, CrowdStrike est un produit fantastique, et l’équipe de développement a commis une erreur, et les tests unitaires ne l’ont pas détectée, et la manière asynchrone de déployer les fichiers de données a déclenché le bug plus tard, d’un seul coup, sans test. ouragan de malchance.”
Beth Pariseau, rédactrice principale pour TechTarget Editorial, est une vétéran primée du journalisme informatique couvrant DevOps. Vous avez un conseil ? Envoyez-lui un email ou contactez @PariseauTT.