"לכל ספקית אבטחה היה 'מסך מוות כחול' בהיסטוריה שלה"

"לעולם לא אטען שלא יהיה לנו אירוע כזה (דוגמת השבתת הענק העולמית שאירעה ביולי השנה, י.ה.). אני חושב שלכל ספקית אבטחה היה כנראה 'מסך מוות כחול' שהתרחש בשלב זה או אחר בהיסטוריה שלה", כך אמר ג'ו לוי, מנכ"ל סופוס (Sophos).

לוי היה בין המשתתפים בוועידת הפסגה לאבטחת נקודות קצה שנערכה באחרונה, בעקבות השבתת הענק שנגרמה מעדכון תוכנה פגום של קראודסטרייק (CrowdStrike). הכנס נערך במטה מיקרוסופט ברדמונד, וושינגטון, בהשתתפות בכירים מקראודסטרייק, סנטינל וואן (SentinelOne), ESET, טרליקס (Trellix), ברודקום (Broadcom) וטרנד מיקרו (Trend Micro).

בכנס, מיקרוסופט המשיכה לאותת, כי אין בכוונתה להגביל את הגישה של ליבת חלונות (Windows) לספקי אבטחת נקודות קצה בעקבות ההשבתה העולמית, ושיקפה שהיא פתוחה למציאת דרכים גמישות יותר לטיפול בשגיאות הנגרמות בקרנל (ליבה, גרעין) על ידי עדכוני כלי אבטחה.

ההשבתה והדיונים בפסגה, אמר לוי, "יגרמו לקהילת נקודות הקצה לחשוב מחדש על כמות הקוד והמורכבות של הקוד שהם מכניסים לקרנל שלהם". הגישה לקרנל זוהתה כגורם מפתח שאפשר לעדכון הפגום של קראודסטרייק לשלוח 8.5 מיליון מחשבים למצב של "מסך המוות הכחול". לדבריו, "האירוע גרם לספקיות האבטחה לחשוב: 'איך אנחנו יכולים למזער את פני השטח של הקוד שאנחנו מכניסים לקרנל? וכיצד נוכל לעשות יותר, כדי לספק את ההגנה של נקודות הקצה ואת יכולות הזיהוי והתגובה שלה – במרחב המשתמש?'. כך, שאם משהו משתבש, לפחות זה יקרה במרחב המשתמש ולא במרחב הקרנל".

"בכירי מיקרוסופט לא הולכים נגד האקוסיסטם של אבטחת נקודות קצה בשל האירוע", אמר לוי, "אני מקווה שהדיונים יביאו לאבולוציה של פרוטוקולי האבטחה".

"אנחנו משקיעים מאמצים רבים באופן שבו אנו מבצעים בדיקות פנימיות, פריסה פנימית של העדכונים שלנו – הן עדכוני הקוד שלנו והן עדכוני התוכן שלנו, תחילה בקרב אוכלוסיית העובדים שלנו, ומשם אנחנו מגלגלים את זה לאוכלוסיית העובדים ואז ללקוחות שלנו. אנחנו אוספים טלמטריה בזמן שזה קורה, ואז אם אנחנו רואים שקורה משהו שלילי באוכלוסייה, אנחנו יכולים מיד להשהות את זה כדי שזה לא יגיע לקבוצה רחבה יותר", ציין.

"אני מאד אופטימי לגבי הקטנת הפוטנציאל להשבתה נוספת", אמר לוי, "אני חושב שהמשבר הזה יהיה ממונף. אנחנו כבר רואים את זה בתעשייה, יש יותר שיח בנושא. בכל פעם שאתה מתקשר עם הקרנל, אתה מסתכן בייצור פוטנציאלי של איזושהי אינטראקציה שלילית עם הזיכרון, שבסופו של דבר תגרום למסך כחול – כי הקרנל צריך להגן על עצמו".

"צריך לזכור", ציין לוי, "אנחנו עומדים מול יריבים שמנסים להתחמק או לגרש אותנו. 'להתחמק' פירושו, הם רוצים לעקוף את בקרות האבטחה. 'לגרש' פירושו, הם רוצים לכבות ולהסיר אותנו, או למגר את היכולת שלנו לבצע את הניטור ובקרת התהליכים שאנחנו עושים כדי לעצור נוזקות וכופרות. לכן עלינו לפעול ברמת הקרנל כדי להגן על עצמנו מפני מצבים אלה". הוא הוסיף, כי "עוד צריך לחשוב על ההשפעה של מה שאנו וכלל תעשיית האבטחה עושים על הביצועים של המערכת. בקרת אבטחה הפועלת בנקודת הקצה צריכה להיות בלתי נראית. אנחנו גם לא רוצים לפגוע בחוויית המשתמש בשום צורה. אנחנו רוצים להמשיך לשפר את מנגנוני האבטחה – אבל עם מזעור ההשפעה על המשאבים".

"אנו רוצים להמשיך לספק אותם יתרונות אבטחה הגנתית ומתקנת ללקוחותינו, תוך מזעור הסבירות להפרעה לאותו רכיב חיוני מאוד של אבטחת סייבר – הזמינות", סיכם לוי. "הוועידה אילצה את כל הספקים לחשוב מחדש על גמישות ועל נוהלי פריסה בטוחים. זה היה מאוד מגניב – לפגוש כל כך הרבה ספקים בתעשיית אבטחת נקודות הקצה בחדר אחד".