Grote CrowdStrike-storing zet Microsoft aan tot beveiligingsomslag

Deze conferentie op Microsofts hoofdkantoor in Redmond (in de Amerikaanse staat Washington) is eind augustus aangekondigd. Het zogeheten Windows Endpoint Security Ecosystem Summit was in tegenstelling tot veel reguliere conferenties over IT-beveiliging echter niet open voor partners, publiek of pers. Microsoft en CrowdStrike hebben 'sleutelpartners' uitgenodigd om bijeen te komen en te praten over hoe kritieke infrastructuren van hun gezamenlijke klanten veerkrachtiger te maken. Daarmee moeten die systemen beter beschermd worden.

Beschermen tegen bescherming

Het gaat hierbij niet om de gebruikelijke bedreigingen voor computers, netwerken en toepassingen, zoals hackaanvallen door cybercriminelen of statelijke actoren. Het gaat om weerbaarheid tegen updates die onvoorziene negatieve neveneffecten hebben, die dan enorme gevolgen kunnen hebben.

Een update die CrowdStrike in juli heeft uitgebracht voor zijn securitysoftware heeft Windows hard laten crashen. In totaal zijn toen wereldwijd 8,5 miljoen computers vastgelopen. Herstel moest handmatig, per computer worden uitgevoerd. Dit heeft voor veel werk, omzetverlies en extra kosten gezorgd. Later hebben Microsoft en CrowdStrike tools uitgebracht ter vergemakkelijking van het Windows-herstel.

Uitrol, herstel, schade

De grote CrowdStrike-storing van 19 juli heeft onder meer vliegtuigmaatschappijen - en hun klanten, zowel bedrijven als consumenten - geraakt. De Amerikaanse maatschappij Delta Air is toen langer onderuit geweest dan veel andere bedrijven, waaronder ook concurrerende vliegtuigmaatschappijen. Delta heeft een half miljard dollar schade geleden en wil dat via een rechtszaak verhalen op CrowdStrike en Microsoft.

De gesloten securityconferentie van gister is onder meer gericht op veilige uitrol van updates. Het is namelijk gebleken dat CrowdStrike geen goede procedures had voor het testen, beperkt uitrollen, monitoren op fouten, en bij problemen terugdraaien van deployments van zijn securitysoftware. Microsoft zelf heeft - door schade en schande wijs geworden - al jaren voorzieningen getroffen om de uitrol van software geleidelijk aan en goed gemonitord uit te voeren. Dan nog vinden er wel problemen plaats door bugs in updates.

Securitysoftware inperken?

Op zich zou een foute update voor applicatiesoftware wel door beheerders van getroffen systemen teruggedraaid kunnen worden. Securitysoftware draait in de regel echter op diepere niveaus in de Windows-kernel. Daardoor was de CrowdStrike-storing veel erger dan 'gewone' storingen. Mogelijk dat Microsoft kerneltoegang wil gaan inperken. Dat zou het functioneren van securitysoftware raken en het werk van leveranciers kunnen bemoeilijken.

Het is op dit moment niet bekend wat voor maatregelen Microsoft wil doorvoeren, of CrowdStrike daarbij het voortouw neemt en hoe dit andere security-aanbieders beroert. Microsoft heeft verklaard dat het vertegenwoordigers van de overheid heeft uitgenodigd voor de securitybijeenkomst "om het hoogste niveau van transparantie te verzekeren" voor de samenwerking in de securitygemeenschap, meldt The Register. Die transparantie betreft vooralsnog alleen de uitverkoren partners en de overheid, die al flink kritisch is op Microsofts security plus ook het verdienmodel daarbij.