Una sorta di “COP” in chiave cyber security. Il Windows Endpoint Security Ecosystem Summit tenutosi lo scorso settembre ha segnato un passaggio chiave nella definizione delle strategie di sicurezza informatica del mondo Windows. Obiettivo: creare policy comuni per fare in modo che il contrasto al cyber crimine sia condotto attraverso l’adozione di policy che permettano di garantire l’operatività di tutte le organizzazioni che utilizzano l’ecosistema Microsoft.
“Il summit è stata l’occasione per coinvolgere tutti gli addetti ai lavori su un tema ormai ineludibile” spiega Stefano Longo, Director & Sales Lead CyberSecurity di Microsoft. “In particolare, ci siamo concentrati sulle best practice legate al deployment delle soluzioni di sicurezza” specifica.
Il “fattaccio” alla base della nuova strategia
Per capire da dove ha preso le mosse l’iniziativa, è necessario fare un passo indietro fino allo scorso 19 luglio, quando un errore nell’aggiornamento di un prodotto di cyber security di Crowdstrike ha provocato il “crash” di 8,5 milioni di computer Windows, con una ricaduta pesantissima sull’operatività di aziende, aeroporti, stazioni e strutture sanitarie.
L’impatto devastante del bug è stato provocato dal fatto che la modifica è stata eseguita in kernel mode, cioè ha impattato su un driver che risiede nel “cuore” del sistema operativo Microsoft. Se i normali software non possono accedere a un simile livello, nel caso delle applicazioni di sicurezza le cose funzionano diversamente. Il motivo di questa anomalia non è legato però a esigenze squisitamente tecniche. È piuttosto dettata da regole commerciali.
Una questione politica
Alla base di questa peculiarità c’è un accordo risalente al 2009 tra Microsoft e la Commissione Europea. L’accesso al kernel da parte dei software di cyber security è stato infatti garantito in un’ottica antitrust. Secondo l’autorità di Bruxelles, infatti, se Microsoft non avesse concesso ai servizi concorrenti la stessa “profondità” di azione del suo Windows Defender, si sarebbe configurato il classico caso di “abuso di posizione dominante”. In altre parole, visto che il prodotto di cyber security proprietario dell’azienda ha la possibilità di agire a livello di kernel, questa possibilità deve essere concessa a tutti.
Il problema, come è emerso chiaramente lo scorso luglio, è che questa apertura amplifica esponenzialmente il rischio che un piccolo errore si trasformi in uno tsunami in grado di travolgere milioni di endpoint, con un impatto devastante a livello di operatività. “Le regole non si discutono – sottolinea Stefano Longo – ma lo status quo porta a un livello di rischio inaccettabile. Il nostro obiettivo non è quindi quello di mettere in discussione l’accordo con la Commissione Europea, ma lavorare con tutti i vendor per creare procedure condivise che permettano di evitare il ripetersi di eventi simili”.
Lavorare sulle procedure
Al netto della differente posizione che può avere un’azienda come Microsoft, che sviluppa sia il sistema operativo che le soluzioni di sicurezza, il focus del meeting è stata la condivisione delle procedure di deployment in ambito security. “Nel settore della sicurezza informatica è importante ricordarsi che i vari sviluppatori sono competitor ma non avversari” precisa Longo. “I veri avversari sono i cyber criminali che utilizzano la tecnologia per provocare danni”. Adottare una strategia comune, in quest’ottica, significa confermare quell’atteggiamento di “leale competizione” che distingue da sempre il settore della cyber security.
“È con questo spirito che abbiamo deciso di condividere con tutti il nostro approccio relativo alla gestione degli update a livello di kernel”. Ma di quale approccio si tratta? Quello adottato a Redmond è un processo che Longo definisce “a ring”, attraverso cioè un graduale allargamento nell’implementazione degli aggiornamenti che coinvolge in prima battuta il settore sviluppo e, solo in seguito, ambiti ristretti in cui è possibile valutare l’impatto degli aggiornamenti. In questo modo è possibile individuare tempestivamente eventuali bug ed effettuare, nel caso, un immediato rollback dell’aggiornamento.
“Questa stessa logica viene applicata anche dai clienti, che possono scegliere le concrete modalità con cui gestire questa fase di test” spiega il manager di Microsoft. “L’elemento fondamentale è quello di tenere sempre presente che si può verificare un problema e che è necessario avere una procedura di mitigazione che ne riduca l’impatto”.
Una piattaforma comune per gestire gli aggiornamenti
Se la condivisione delle procedure di test rappresenta uno degli obiettivi che tutti i vendor si sono dati all’interno di un gruppo di lavoro denominato Microsoft Virus Initiative, l’agenda prevede una serie di passaggi ulteriori che dovrebbero portare sia a un maggior livello di trasparenza dei processi, sia all’adozione di strumenti condivisi che permettano di mitigare il rischio che si verifichi un altro “affaire Crowdstrike”.
Tra questi, per esempio, la predisposizione di sensori a un livello intermedio che permettano di individuare immediatamente eventuali problemi legati agli aggiornamenti in kernel mode. Una sorta di piccolo layer tra il kernel e il resto del sistema operativo, in sostanza, che “Si tratta di uno dei passaggi fondamentali per migliorare complessivamente il livello di resilienza dei sistemi informatici” sottolinea Stefano Longo.
Insomma: una serie di accorgimenti che andrebbero ad aggiungersi ai requisiti a livello di standard e certificazioni già presenti. “La security è uno sport di squadra” chiosa Longo. “Per garantire i migliori risultati serve la collaborazione tra chi sviluppa l’ecosistema, i singoli vendor in ambito sicurezza e le aziende”.
