Microsoft y socios presentan nuevos requisitos de seguridad para PCs

Para combatir las amenazas específicamente dirigidas a los niveles de firmware y sistema operativo, Microsoft anunció una nueva iniciativa junto a sus socios para diseñar lo que llamaron PC con núcleo seguro.

Estos dispositivos, creados en colaboración con nuestros socios de fabricación de PC y silicio, cumplen con un conjunto específico de requisitos de dispositivos que aplican las mejores prácticas de seguridad de aislamiento y mínima confianza a la capa de firmware, o al núcleo del dispositivo, que sustenta el sistema operativo Windows. Estos dispositivos están diseñados específicamente para industrias como servicios financieros, gobierno y atención médica, y para trabajadores que manejan datos personales, IP o personales altamente sensibles, incluida la PII, ya que estos son objetivos de mayor valor para los atacantes de los estados nacionales.

Las PC con núcleo seguro combinan protección de identidad, virtualización, sistema operativo, hardware y firmware para agregar otra capa de seguridad debajo del sistema operativo. A diferencia de las soluciones de seguridad solo de software, las PC con núcleo seguro están diseñadas para prevenir este tipo de ataques en lugar de simplemente detectarlos. Estos requisitos permiten a los clientes arrancar de forma segura, proteger el dispositivo de las vulnerabilidades del firmware, proteger el sistema operativo de los ataques, evitar el acceso no autorizado a dispositivos y datos, y garantizar que las credenciales de identidad y dominio estén protegidas.

SecOps y los administradores de TI pueden utilizar las mediciones integradas para controlar de forma remota el estado de sus sistemas mediante la certificación de tiempo de ejecución de System Guard e implementar una red de confianza cero enraizada en hardware. Esta seguridad de firmware avanzada funciona en conjunto con otras características de Windows para garantizar que las PC con núcleo protegido brinden protecciones integrales contra las amenazas modernas.

Utilizando las nuevas capacidades de hardware de AMD, Intel y Qualcomm, Windows 10 ahora implementa System Guard Secure Launch como un requisito clave del dispositivo de PC de núcleo seguro para proteger el proceso de arranque de los ataques de firmware. System Guard utiliza las capacidades de Dynamic Root of Trust for Measurement (DRTM) que están integradas en el último silicio de AMD, Intel y Qualcomm para permitir que el sistema aproveche el firmware para iniciar el hardware y luego, poco después de reiniciar el sistema en un estado confiable, utilizando el cargador de arranque del sistema operativo y las capacidades del procesador para enviar el sistema por una ruta de código conocida y verificable.

Este mecanismo ayuda a limitar la confianza asignada al firmware y proporciona una poderosa mitigación contra las amenazas de vanguardia dirigidas contra el firmware. Esta capacidad también ayuda a proteger la integridad de la funcionalidad de seguridad basada en virtualización (VBS) implementada por el hipervisor del compromiso del firmware. VBS luego confía en el hipervisor para aislar la funcionalidad sensible del resto del sistema operativo, lo que ayuda a proteger la funcionalidad de VBS del malware que puede haber infectado el sistema operativo normal, incluso con privilegios elevados. La protección de VBS es crítica, ya que se utiliza como un componente básico para importantes capacidades de seguridad del sistema operativo, como Credential Guard de Windows Defender, que protege contra el malware de forma maliciosa utilizando credenciales del sistema operativo e Integridad de código protegida por hipervisor (HVCI) que garantiza que se aplique una política estricta de integridad de código y que todo el código del núcleo está firmado y verificado.

También se implementó Trusted Platform Module 2.0 (TPM) como uno de los requisitos del dispositivo para PC con núcleo seguro. Al usar Trusted Platform Module 2.0 (TPM) para medir los componentes que se usan durante el proceso de lanzamiento seguro, ayudamos a los clientes a habilitar redes de confianza cero utilizando la certificación de tiempo de ejecución de System Guard. Las políticas de acceso condicional se pueden implementar en función de los informes proporcionados por el cliente de certificación de System Guard que se ejecuta en el entorno VBS aislado.

Además de la funcionalidad de lanzamiento seguro, Windows implementa salvaguardas adicionales que funcionan cuando el sistema operativo se está ejecutando para monitorear y restringir la funcionalidad de la funcionalidad de firmware potencialmente peligrosa accesible a través del modo de administración del sistema (SMM).

Más allá de la protección del hardware del firmware presentado en las PC con núcleo seguro, Microsoft recomienda un enfoque de defensa en profundidad que incluye la revisión de seguridad del código, las actualizaciones automáticas y la reducción de la superficie de ataque. Microsoft ha proporcionado un proyecto de firmware de código abierto llamado Project-Mu que los fabricantes de PC pueden usar como punto de partida para un firmware seguro.

Deja un comentario