Area Notebook 4 muestra el nuevo enfoque de Microsoft para la seguridad de la Computer


Microsoft está brindando seguridad de hardware avanzada a más dispositivos Surface con administración de firmware en la nube para ayudar a las empresas a implementar nuevas Laptop rápidamente.

De Microsoft Surface Notebook 4 es el segundo dispositivo Surface que united states Secured-main para proteger el firmware. Esto trae lo que solían ser características de seguridad opcionales que tenía que probar y administrar, y luego la seguridad incorporada diseñada para las industrias más atacadas por los atacantes, más allá de la corriente principal. Tambien es el primero Pc de núcleo seguro disponible con un procesador AMD (y la segunda Floor con tecnología AMD).

Firmware como UEFI es un objetivo cada vez más popular para los ciberdelincuentes por la misma razón por la que los bancos atraen atención no deseada: es donde se almacena información smart y valiosa, como credenciales y claves de cifrado. Secured-core protege el firmware haciendo que la CPU ejecute sus propias comprobaciones para confirmar que UEFI dice la verdad cuando dice que no ha sido manipulado durante el proceso de arranque.

VER: Política de protección contra robo de identidad (TechRepublic High quality)

Surface Laptop computer 4 también protege contra periféricos maliciosos que intentan extraer información de la memoria mediante el acceso directo a memoria (DMA) activando Protección de Kernel DMA, así como otras características de seguridad de Windows como Seguridad basada en virtualización (VBS) y Integridad de código aplicada por hipervisor (HVCI).

Activar esas funciones de seguridad de hardware de forma predeterminada (la forma Surface area Pro 7+ para empresas hace) lessen las formas en que una Pc puede ser atacada, lo que se traduce en menos ataques a esos dispositivos, Mark Schreffler, director senior de gestión de programas de ingeniería de superficies, dijo a TechRepublic.

«Vemos la telemetría interna sobre esto en Microsoft. Si realiza envíos con la seguridad de hardware mejorada activada de forma predeterminada, esos dispositivos tienen menos de la mitad de la cantidad de ataques de malware y ransomware en la naturaleza. Como usuario ultimate, usted &#39 cada día estás más seguro «.

Aún mejor, los usuarios tienden a no darse cuenta, dijo Schreffler. «Para mí, el objetivo son las funciones de seguridad para los usuarios finales, y casi quiero que no lo sepan, a menos que usted sea un departamento de TI que esté tomando una decisión de compra.

«La gente siempre se preocupa por las funciones de seguridad: ¿qué va a afectar a la duración de la batería? ¿El rendimiento se va a agotar?»

Pero cuando Microsoft comenzó a activar la seguridad mejorada de hardware de forma predeterminada hace un año con Surface E book 3, «la belleza de esto fue que nadie se dio cuenta», dijo Schreffler.

microsoft-secure-core-pcs.jpg

Las Computer system de núcleo seguro aplican las mejores prácticas de seguridad de aislamiento y confianza mínima a la capa de firmware que sustenta Home windows.

Imagen: Microsoft

Entrega de dispositivos seguros

Los departamentos de TI se preocuparán por la forma en que versión empresarial de Area Laptop 4 es más fácil de implementar y administrar de forma remota. Sin embargo, pueden administrar y actualizar UEFI Modo de gestión empresarial de Surface y Administrador de configuración de endpoints de Microsoft, en lugar de arrancar físicamente en UEFI en el dispositivo. Si hay funciones UEFI que los empleados no necesitarán, pueden desactivarlas de forma remota por seguridad.

Con los modelos recientes de Surface (Area Laptop computer Go, Surface area Notebook 3 y 4, Surface Reserve 3 y Surface area Pro 7, Professional 7+ y Pro X), también pueden administrar UEFI a través de la nube con Intune a través de la Interfaz de configuración de firmware del dispositivo (DFCI). Añadir Piloto automático y Home windows 10 Cloud Config, y las organizaciones pueden estar seguras de que los dispositivos son seguros y administrados tan pronto como salen de la caja, para ayudarlos a pasar a un enfoque de confianza cero con los terminales.

«El objetivo es que un cliente comercial pida una máquina de Area o de cualquier OEM, se envíe directamente desde la fábrica al usuario last. Se envía con una imagen que el usuario puede registrar. El dispositivo debe ser seguro, tiene que conectarse con la cadena de gestión «, dijo Schreffler. «Lo hemos encendido en Surface area: tenemos nuestra función de piloto automático, tenemos la administración de Intune para UEFI en los dispositivos. Y el dispositivo es seguro desde el primer momento: no tiene que activar las funciones de seguridad, se envía No es necesario que el departamento de TI esté involucrado en medio de eso o, peor aún, que el usuario ultimate intente averiguar cómo configurar su dispositivo de forma segura.

«Los espacios de trabajo híbridos están en las noticias en este momento. El costo de un departamento de TI para interceptar dispositivos intermedios, administrarlos y configurarlos y luego enviarlos de regreso a sus usuarios: es un costo bastante alto desde una perspectiva comercial, y honestamente, también es bastante lento cuando tienes que entregar dispositivos a un equipo que puede estar diseminado por todo el lugar «.

VER: Política de formación y sensibilización sobre seguridad (TechRepublic High quality)

Las Computer system domésticas no se inscribirán en los sistemas de administración de terminales corporativos de la misma manera, por lo que no necesitan las funciones de administración en la nube DFCI de los dispositivos Floor comerciales. Y la versión para el consumidor de Surface area Laptop computer 4 no tiene la misma protección contra manipulaciones en el components de seguridad en sí, explicó Schreffler.

«UEFI en nuestros SKU comerciales tiene la interfaz de administración incorporada eso no está en los SKU del consumidor porque no están administrados por entornos de Intune, no están administrados por empresas corporativas. Tenemos TPM y algo de protección física en el dispositivo para vectores de ataque más avanzados. No estamos tan preocupados por los ataques de los estados nacionales a su máquina doméstica, pero tenemos clientes que están preocupados por ese vector de ataque y necesitan un refuerzo físico avanzado. A medida que creamos funciones de seguridad más avanzadas en nuestra SKU comercial, verá mucha más protección contra la manipulación física de los atacantes avanzados: personas que están haciendo cosas que una persona normal no hace cuando encuentra un dispositivo en un autobús. . »

Intentar romper físicamente o confundir electrónicamente los módulos de seguridad (notice las formas en que los investigadores de seguridad han estado investigando los nuevos AirTags) sigue siendo un ataque avanzado, no porque no se conozcan las técnicas, sino porque no escalan como lo hacen los ataques de computer software y firmware, dijo Schreffler.

«El conocimiento de lo que se necesita para hacer eso está más extendido. Aún así, diría que el tiempo que tienes que dedicar para hacerlo es bastante extenso. En la industria del consumidor, simplemente no estamos viendo eso porque el retorno de la inversión es bajo . Es un ataque a un dispositivo a la vez si tienes diez dispositivos, tienes que invertir el tiempo en cada uno individualmente. No hay economías de escala en esos ataques «.

Por lo tanto, los atacantes apuntarán a bancos y organizaciones donde lo que hay en la Computer system podría valer millones, pero no dedicarán un tiempo y esfuerzo related a atacar individualmente las máquinas de los consumidores con un pago mucho menor.

De la empresa a la corriente principal

Con Surface area, Microsoft tiene que equilibrar el éxito en el hardware con no alienar a los OEM de Computer El director ejecutivo, Satya Nadella, siempre ha hablado de que Surface está allí para establecer nuevas categorías, y una de esas categorías podría ser la seguridad de hardware convencional.

La primera Computer de núcleo seguro fue la Area Pro X, pero fue seguido rápidamente por Personal computer de fabricantes de equipos originales como Dell, HP y Panasonic. Según Schreffler, uno de los objetivos del equipo de ingeniería de Surface area es «crear funciones y tecnologías para elevar el nivel de la industria de las Laptop. Quiero que la gente, cuando piense en Computer system, piense en seguridad».

«Trabajamos con el equipo de Home windows y también trabajamos en estrecha colaboración con AMD para asegurarnos de que podemos llevar esta tecnología a la amplia cartera. Si bien Area Laptop computer 4 fue el primer dispositivo AMD lanzado con Secured-core, ahora otros OEM también están habilitados». Añadió Schreffler.

Es un poco más fácil para Microsoft, no solo porque el equipo de Surface area puede trabajar directamente con los equipos de Windows, Azure e Intune, sino porque Microsoft puede adoptar un enfoque de extremo a extremo: diseña el components, crea su propio firmware y puede administrar a través de la nube y actualícelo directamente a través de Home windows Update. «Tenemos la ventaja de que todo es interno y no hay muchos terceros involucrados en nuestra cadena de suministro o en la fabricación actual del dispositivo», señaló Schreffler. «Y a medida que descubrimos nuevas tecnologías o formas de hacer las cosas, podemos trasladarlas al ecosistema de OEM y, cuando sea apropiado, ellos pueden recoger esas cosas».

La próxima ronda de anuncios de Surface area llegará a finales de este año. Si bien algunas industrias siempre necesitarán un mayor nivel de seguridad, más características de seguridad de los dispositivos comerciales aparecerán en el hardware para los consumidores durante la temporada navideña, dijo a TechRepublic Megan Solar, directora de marketing and advertising de Surface area.

«Nuestra misión es crear seguridad empresarial para todos. No debería tener que pagar más y comprar Pc especializadas solo para obtener funciones seguras».

El impacto del phishing y el ransomware en las empresas y sus clientes ha sido muy obvio recientemente. Parte del problema es que elegir Computer más seguras ha tenido que ser una decisión consciente para pagar más por dispositivos quality y habilitar las funciones de seguridad en ellos (generalmente después de pruebas exhaustivas de compatibilidad de aplicaciones debido a preocupaciones sobre lo que podría romperse).

«Queremos cambiar esa conversación a: &#39oye, si eres un usuario usual, estás protegido&#39», dijo Schreffler. «Si desea administrar su entorno corporativo, si desea protección física, si desea protección avanzada de components, existe un SKU comercial para usted que lo tiene. Pero para todos los demás, navegue por los sitios que desee y con Edge y la seguridad características, estás bien.

«Realmente estamos tratando de facilitar las cosas a los usuarios. Muy pocas personas entienden este espacio y, sinceramente, no es nuestro objetivo educar, es nuestro objetivo simplemente hacer que sus vidas funcionen».

Ver también



Enlace a la noticia authentic