หลังกรณี CrowdStrike ไมโครซอฟท์บอก Windows ต้องทนทานขึ้นในระยะยาว ยุ่งกับเคอร์เนลน้อยลง

ไมโครซอฟท์ประกาศผ่านบล็อก Windows IT Pro Blog ว่าจากกรณี CrowdStrike สิ่งแรกที่ไมโครซอฟท์ทำคือตั้งทีมรับมือปัญหาเฉพาะหน้า (first responder) โดยใช้ทีมซัพพอร์ตกว่า 5 พันคนทำงาน 24x7 ช่วยกู้ระบบของลูกค้าทั่วโลกให้กลับมาออนไลน์

ไมโครซอฟท์ยังออกตัวช่วยกู้ระบบ (Recovery Tool) ซึ่งหลังจากออกเวอร์ชันแรกมาแล้ว ยังพัฒนาต่ออีกหลายเวอร์ชันตามความต้องการของลูกค้า (หน้ารวมข้อมูลทุกอย่างของ Recovery Tool) เช่น รองรับการบูตจาก WinPE, การบูตจาก safe mode, การบูตผ่านเครือข่าย PXE

ส่วนแนวทางป้องกันปัญหาในระยะยาว ไมโครซอฟท์บอกว่าเหตุการณ์นี้แสดงให้เห็นว่า Windows ต้องพัฒนาตัวเองให้ทนทาน (resilience) กว่าเดิม โดยที่ยังต้องพัฒนาความปลอดภัยไปพร้อมๆ กัน

ถึงแม้ไม่บอกตรงๆ ว่าจะทำอะไรบ้างในอนาคต แต่โพสต์ของไมโครซอฟท์ยกตัวอย่างฟีเจอร์ที่มีอยู่แล้วสองตัวว่าสอดคล้องกับแนวทางความทนทาน+ความปลอดภัย ได้แก่

• VBS enclave ที่นำซอฟต์แวร์ใน user mode มาแยกส่วนรันใน Virtualization Based Security (VBS) ที่อิงอยู่บน Hyper-V เพื่อแยกส่วนงานที่รันไม่ให้ไปยุ่งกับเคอร์เนล
• Microsoft Azure Attestation บริการบนคลาวด์ Azure ที่คอยตรวจจับว่าไบนารีของซอฟต์แวร์มีความน่าเชื่อถือแค่ไหน โดยไม่ต้องพึ่งพาการรัน agent ในระดับเคอร์เนล

ไมโครซอฟท์ยังแนะนำเทคนิคทั่วไปในการสร้างระบบไอทีองค์กรที่ทนทานมากขึ้น เช่น การแบ็คอัพบ่อยๆ, การใช้ฟีเจอร์ recovery ของ Windows หรือ snapshot ของ Azure VM, การทยอยดีพลอยอัพเดตแยกตามกลุ่ม (deployment ring), การจัดการเครื่องพีซีผ่านคลาวด์ ที่กู้ระบบได้ง่ายกว่ายามเกิดปัญหา

ที่มา - Microsoft