Microsoft | Александр В. Леонов

Прочитал свежий майкрософтовский репорт, тот самый про то как они сопредельную страну защищают. Я обычно такие темы избегаю, но тут уж никак.

1. Большая часть репорта это какая-то вода и хайли-лайкли. Читать скучно. Больше половины вообще не про атаки, а про пропаганду, в том числе какие-то странные исторические экскурсы.
2. С другой стороны тут важно не то, что написано, а то кем написано. Это не мейнстримное медиа, не NSA, не CIA, это Microsoft - глобальный IT вендор, который должен по идее быть более-менее нейтральным. И вот они теперь такие репорты выдают! Если думаете, что Microsoft негосударственный и чисто про бизнес, полистайте этот репорт. Это позиция официальнее некуда, там вступление текущим президентом Microsoft написано.
3. Из более-менее интересного по технике я увидел только то, что гос. инфру перенесли в облако и технологии MS (Defender for Endpoint?) использовали для защиты. Чуть менее чем вся техническая сторона на 9-ой странице репорта.
4. Там пишут про две важных опции безопасности. Первая это то, что Microsoft запилил им бесплатный Vulnerability Management. "The first has been the use of technology acquired from RiskIQ that identifies and maps organizational attack surfaces, including devices that are unpatched against known vulnerabilities and therefore are the most susceptible to attack." Не вполне понятно как именно это сделали. Как вариант могли просто к Defender for Endpoint подключить. Но может каким-то другим образом массово активировали сбор данных с хостов.
5. На то, что собирали именно какими-то нестандартными методами намекает вторая опция безопасности: "MSTIC recognized that XXX malware could be mitigated meaningfully by turning on a feature in Microsoft Defender called controlled folder access. This typically would require that IT administrators access devices across their organization, work made more difficult and potentially even dangerous in XXX conditions. The XXX government therefore authorized Microsoft through special legal measures to act proactively and remotely to turn on this feature across devices throughout the government and across the country." И тут не так важно, что настроили контроль доступа к папкам, а то как это сделали. Оказывается MS могут массово удаленно подкручивать опции безопасности, если правительство сопредельной страны им это разрешило. Ну надо же. А что ещё могут и где?
6. Основная озабоченность конечно в том, что продукты Microsoft, в том числе облачные средства безопасности, широко используются в российских организациях. Такие публикации подтверждают, что Microsoft вендор крайне ангажированный, нестабильный и нужно спешно с этим что-то делать.

На недельке Microsoft выкатили функцию автообновления для Windows 10/11 с лицензиями Enterprise E3 и E5 (то есть не обычные, а более дорогие лицензии). Также должен быть настроен Hybrid Azure Active Directory. Но если все будет закуплено и настроено, то обновлениями MS-ных продуктов, драйверов и прочего смогут автоматически кататься сами из MS-ного облака. Причем чаще чем раз в месяц. Причем не так, что все обновления разом накатятся на все хосты с риском, что что-то отъедет, а постепенно, чтобы можно было среагировать и откатиться.

"The 'test ring' contains a minimum number of devices, the 'first ring' roughly 1% of all endpoints in the corporate environment, the 'fast ring' around 9%, and the 'broad ring" the rest of 90% of devices.
The updates get deployed progressively, starting with the test ring and moving on to the larger sets of devices after a validation period that allows device performance monitoring and pre-update metrics comparison.
Windows Autopatch also has built-in Halt and Rollback features that will block updates from being applied to higher test rings or automatically rolled back to help resolve update issues."

Удобно это? Да конечно удобно. Опасно это? Ну зависит от доверия вендору, веры в его стабильность и его собственную безопасность. Вопрос сейчас неоднозначный. 😏

Но в целом это наряду с Defender for Endpoint (EDR, VM) и Intune это выглядит как правильное прогрессивное направление развития ОС. Во всяком случае десктопных. Если вы доверяете вендору ОС логично и доверять облачным IT сервисам этого вендора, облегчающих жизнь админам и безопасникам. Не знаю задумываются ли в эту сторону в Астре, Альте, РедОСе и т.д., но вообще кажется есть смысл концепции у MS перерисовывать.

С другой стороны пока такой автопатчинг это не панацея конечно, потому что с обновлением third-party все совсем не так тривиально. Patch Management все равно будет нужен. Но у MS кажется много ресурсов, чтобы постепенно и в этом направлении двигаться. Работает же у них детект уязвимостей для third-party в Defender for Endpoint, что тоже совсем не просто, запилят и обновления. Если Qualys могут, то и MS смогут.

Ещё вспомнил хохму из из институтских времён. У нас были лабы по плюсам: GUI, межпроцессное взаимодействие, всякое такое. Естественно все исключительно под Windows в Visual Studio, обмазовшись Соломоном-Руссиновичем, MSDN-ом и не помню чем ещё. Кто-то из нашей группы резонно спросил у преподавателя: "а чего такой фокус на Windows-то, может Linux для разнообразия?" Ответ был в духе, что Linux это конечно замечательно, но большинству из нас по работе придется кодить GUI приложения под винды. Так-то спасибо конечно, что не Фортран и не Паскаль, но все же лол. 🙂 Это был год 2004-2005 где-то. Сейчас вроде стало намного сбалансированнее, но тогда было вот так. ИУ-8, привет.

Про отключение обновлений это пока фальстарт, но 3 абзац в точку. Помним-помним как это навязывалось.

"Дело происходило в ГД РФ, собрали всех кто относился к индустрии. Выступала Ольга Дергунова от Микрософта (сейчас прекрасно работает в ВТБ) и рассказывала как компания, евангелистом которой она является, будет нежно любить страну и бесплатно (ну почти) поставлять программное обеспечение для школ. И всего то надо принять антипиратские законы (помните Горбушку ?) и будет стране счастье. Никаких рисков нет, ибо это бизнес и представить себе что Микрософт будет по приказу правительства США отключать программное обеспечение - невозможно. Только коммунисты требовали отказаться от микрософтивизации государства. Они говорили что рано или поздно нас будут шантажировать отключением от сервисов. На тот момент нам всем казалось что коммунисты немного сошли с ума. Но как показала жизнь, как и стоящие часы показывают дважды в день правильное время, так и коммунисты тогда были совершенным образом правы."

Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: Microsoft

Прочитал свежий майкрософтовский репорт, тот самый про то как они сопредельную страну защищают

На недельке Microsoft выкатили функцию автообновления для Windows 10/11 с лицензиями Enterprise E3 и E5 (то есть не обычные, а более дорогие лицензии)

Ещё вспомнил хохму из из институтских времён

Про отключение обновлений это пока фальстарт, но 3 абзац в точку