Tras una reunión de líderes del sector en Microsoft para debatir sobre el ecosistema de seguridad de endpoints, compartimos algunas reflexiones
Esta semana, Sophos participó en la Microsoft’s Windows Endpoint Security Ecosystem Summit. A la luz del reciente incidente de CrowdStrike, en el que una actualización del controlador del kernel colapsó millones de máquinas en todo el mundo, los asistentes, tanto del sector como del gobierno, se reunieron para profundizar en temas como las arquitecturas del kernel, los procesos de despliegue de actualizaciones y, sobre todo, cómo este ecosistema de seguridad hasta ahora oscuro puede evolucionar de forma transparente y con la plena participación de la comunidad para proteger al mundo. Se trataba de un debate inicial, no de una sesión sobre políticas, pero surgieron algunos temas notables.
Uno de los temas fue cómo puede evolucionar la plataforma Windows para reducir la necesidad de que las empresas de seguridad utilicen controladores del núcleo, hooking del espacio de usuario u otras técnicas para interoperar de forma ágil y activa con la plataforma, negando al mismo tiempo a los adversarios la compra del núcleo de la plataforma. La aportación de toda la industria, así como la experiencia de cómo se ha hecho esto con éxito en el pasado, es clave para que esto funcione. Otro tema fue el despliegue, es decir, cómo se distribuyen el software y las actualizaciones a muchos millones de usuarios de forma segura y con el mínimo trastorno.
En el transcurso del debate, Microsoft nos citó como ejemplo de buenas prácticas y buenos resultados. En este post, describiremos el cómo y el porqué de la actual interoperación de Sophos con la plataforma Windows, y discutiremos (a alto nivel) las posibles formas en que la plataforma Windows podría evolucionar para reequilibrar las técnicas y el acceso necesarios para que los proveedores de seguridad de terceros interoperen con ella. También hablaremos de las Prácticas de Despliegue Seguro (PDS), un tema sobre el que tanto Microsoft como Sophos se comprometieron en la cumbre. Para concluir este artículo, describiremos tres experiencias en la gestión de cambios fundamentales para productos Mac y Linux, como guía potencial para futuras conversaciones en el sector.
Este artículo no es tanto una hoja de ruta como un nomenclátor, que proporciona contexto e información general sobre el panorama. La definición de los requisitos precisos para unos objetivos de resiliencia y seguridad de tan largo alcance está fuera del alcance de este artículo, pero merece la pena echar un vistazo al panorama en sí en este momento de debate reflexivo. Permanece atento.
¿Por qué Sophos utiliza controladores de kernel?
Al igual que otras empresas de seguridad informática, Sophos interopera con la plataforma Windows subyacente utilizando una combinación de técnicas, algunas de las cuales llegan hasta lo más profundo de la plataforma: controladores del kernel, hooking del espacio de usuario y otras técnicas. Cada empresa de seguridad tiene su propia forma de hacerlo. En Sophos hemos publicado anteriormente información sobre nuestros métodos, pero en términos generales, el acceso al sistema que proporcionan los controladores del kernel es necesario para proporcionar las funciones de seguridad que esperan los usuarios de un producto de ciberseguridad moderno. Estas funciones incluyen
Visibilidad
- Proporcionar visibilidad de alta fidelidad y casi en tiempo real de la actividad del sistema
Protección
- Proporcionar la capacidad de prevenir la actividad maliciosa o no conforme antes de que se produzca, no solo de observarla
- Capacidad de reaccionar rápidamente ante una actividad maliciosa o contraria a las normas y repararla o revertirla.
Antimanipulación
- Proporcionar la confianza de que el producto de seguridad funciona según lo configurado, incluso cuando partes del propio sistema operativo se hayan visto comprometidas.
Estabilidad / interoperabilidad
- Proporcionar la confianza de que la instalación del producto de seguridad no degrada la estabilidad de la plataforma Windows o del software y hardware de terceros.
Rendimiento
- Proporcionar las capacidades anteriores con un impacto predecible y tolerable en el rendimiento general del sistema
Bajo consumo* y espera moderna
- Proporcionar las capacidades anteriores durante los modos de bajo consumo; es decir, si se está llevando a cabo cualquier otra actividad, el producto de seguridad seguirá proporcionando visibilidad y protección.
* Otras funciones de la plataforma Windows deben funcionar correctamente y resolver las dependencias de forma dinámica para evitar bloqueos durante los modos de bajo consumo.
Escrito por Sophos Iberia.