Microsoft выгоняет антивирусы из своего ядра
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Microsoft выводит антивирусных провайдеров из ядра Windows. Прошло почти год с тех пор, как сбой в обновлении CrowdStrike привел к сбою 8.5 миллионов устройств на Windows в мире, и Microsoft хочет убедиться, что такая проблема больше не повторится. После проведения саммита с поставщиками безопасности в прошлом году, Microsoft собирается выпустить частный предварительный просмотр изменений в Windows, которые переместят антивирусные (AV) и приложения для обнаружения и реагирования на угрозы (EDR) из ядра Windows.
Новая платформа безопасности конечных устройств Windows создается в сотрудничестве с CrowdStrike, Bitdefender, ESET, Trend Micro и многими другими поставщиками безопасности. "У нас было десятки партнеров, которые предоставили нам документы, некоторые из них наконец-то достигли сотни страниц, о том, как они хотели бы, чтобы это было спроектировано и какие требования существуют," - объясняет Дэвид Уэстон, вице-президент по безопасности корпоративных решений и ОС в Microsoft, в интервью изданию The Verge. "Мне это очень нравится. Это индустрия конкурентов, но все выступили и сказали, что нам нужно создать платформу, на которой все мы будем работать."
Microsoft настойчиво подчеркивает, что она не устанавливает правила и не ожидает, что все немедленно начнут следовать им, а вместо этого разрабатывают правила совместно. "Мы не здесь, чтобы объяснять, как должен работать API, мы здесь, чтобы слушать и обеспечивать безопасность и надежность," - говорит Уэстон. "Я думаю, если бы мы вышли к некоторым нашим конкурентам и сказали: 'Вот, берите или оставьте это', это создало бы настоящую проблему."
На протяжении десятилетий Microsoft разрабатывала Windows таким образом, чтобы разработчики могли предоставлять программное обеспечение безопасности, глубоко укорененное в Windows, работающее на уровне ядра Windows – основной части операционной системы, которая имеет неограниченный доступ к системной памяти и оборудованию. Сбой обновления CrowdStrike в прошлом году подчеркнул, насколько легко может произойти сбой драйвера на уровне ядра, что приведет к сбою устройства и появлению Синего Экрану Смерти (BSOD).
Теперь Microsoft задействует некоторых из своих самых опытных инженеров Windows для работы над этими изменениями безопасности. "У нас есть ключевые разработчики, некоторые архитекторы ядра Windows и даже люди, которые традиционно не работают в области безопасности," - говорит Уэстон. "На самом деле, это лучшие умы ядра Windows, которые участвуют и сотрудничают с CrowdStrike, ESET и другими."
Частный предварительный просмотр даст поставщикам безопасности возможность запросить изменения. Уэстон говорит, что он ожидает несколько итераций, прежде чем это будет готово к переходу. Однако это не решит все проблемы с драйверами на уровне ядра сразу. "Наша цель - начать с AV и EDR, но, вероятно, некоторые драйверы ядра будут присутствовать на протяжении какого-то времени, пока мы переходим к следующему набору случаев использования."
Еще одной важной областью Windows, использующей драйверы на уровне ядра, являются движки против читерства для игр. Microsoft общается с разработчиками игр о том, как уменьшить использование ядра, но это более сложный случай, так как читеры часто должны намеренно вносить изменения в свое устройство, чтобы отключить защиты и запустить движки читерства.
"Многие [разработчики игр] хотели бы не поддерживать ядро и очень заинтересованы в том, как это сделать," - говорит Уэстон. "Мы обсуждали требования в этом отношении, и я думаю, что у нас будут дополнительные обновления в ближайшем будущем." Riot Games в прошлом году заявила мне, что она готова следовать потенциальным изменениям безопасности Windows и "отойти от пространства ядра."
Хотя Microsoft и поставщикам безопасности потребуется время, чтобы проработать эти изменения Windows, Microsoft уверена в хороших показателях внедрения, потому что ее клиенты требуют изменений на фоне инцидента с CrowdStrike.
Microsoft также готовится выпустить обновление Windows позже этим летом, которое включит новую функцию Быстрого Восстановления Машины, предназначенную для быстрой реставрации машин, которые не могут загрузиться. Это заставляет устройство перейти в окружение восстановления Windows, где устройство может получить доступ к сети и предоставить Microsoft диагностическую информацию. "Мы на самом деле создали то, что хотели бы иметь в инциденте прошлого года," - говорит Уэстон.
Кроме того, появление Синего Экрана Смерти вскоре станет частью истории. Microsoft теперь официально переработает свой BSOD так, чтобы он стал черным, а не синим. Больше об этом большом изменении в будущем.
Microsoft снова зашла в дом к антивирусам — и это не просто визит по вопросам безопасности, а целая операция по вытеснению непрошенных гостей. После того как их идеальный сон был нарушен сбоем CrowdStrike, затянувшим 8,5 миллионов устройств в их зловещий танец Синего Экрана Смерти, компания решила действовать решительно — разобраться с паранойей или околокриминальным фэнтези, назовём это так.
Теперь, чтобы навести порядок в этом бесхозном королевстве, Microsoft проводит саммиты с антивирусными провайдерами, словно налаживает дипломатические отношения между враждующими племенами. И вот, они объявляют о создании новой платформы безопасности конечных устройств — манифест всех "лучших умов" в индустрии, с высокими заявками и обязанностями. Странное совпадение, что среди партнеров оказались те самые компании, которые недавно угрожали своим существованием друг другу.
Весь этот процесс облекается в лекала сотрудничества и открытого диалога, но все понимают, что за красивыми словами стоят чёткие это, интересы. Microsoft ни разу не поднимает вопрос о том, каковы последствия, если кто-нибудь из этих "лучших умов" снова собьётся на пути и уронит её систему. Ведь так сложно говорить о правилах игры, когда каждый пытается прокрасться к золотому запасику под названием "Пользовательское доверие".
Проекция новой системы безопасности выглядит многообещающе — вот только присутствие драйверов ядра, как старый гэр на молодом небе, обещает не уйти в прошлое так просто. Microsoft уже бдительно присматривается к играм и их механикам, потому что вопрос борьбы с читерами превратился в кастинг на роль "человека-невидимки". Разговоры о желании уйти от ядра можно легко обернуть в плотную упаковку: чем проще — тем лучше, о чем и свидетельствует энтузиазм разработчиков.
Конечно, уверенность Microsoft подогревает недавний инцидент с CrowdStrike, и вот они снова облачились в линейку новых функций. Быстрое Восстановление уже на подходе, словно весёлый всадник из легенд, готовый спасти мир. К тому же, чтобы сделать этот мир ещё более нарядным, они вдруг решили сменить цвет Синего Экрана Смерти на черный. Потому что, как всем известно, производители софта всегда мечтают об эстетике— и важно, чтобы даже смерть выглядела стильно.
Таким образом, в этой мозаике из слов и намерений мы наблюдаем, как настоящими бенефициарами происходящей трансформации становятся не столько пользователи, сколько поставщики безопасности и, конечно, сама Microsoft, которая, перегоняя один исторический момент, ловко управляет следующими.