La nueva herramienta de seguridad de Microsoft descubrirá vulnerabilidades de firmware, y más, en Computer y dispositivos IoT.


Los dispositivos tienen varios sistemas operativos y firmware en ejecución, y la mayoría de las organizaciones no saben qué tienen o si es seguro. Microsoft utilizará ReFirm para facilitar la búsqueda sin ser un experto.

tr-refirm-labs-position.jpg

ReFirm encaja con los servicios de Azure para escanear y actualizar dispositivos IoT.

Imagen: Microsoft

A medida que los sistemas operativos se vuelven más seguros, los atacantes centran cada vez más su atención en el firmware, que es menos obvious, más fundamental y rara vez está bien protegido.

Las vulnerabilidades en el firmware son un porcentaje en constante crecimiento de los nuevos problemas agregados al Foundation de datos nacional de vulnerabilidades del NIST: se están produciendo cinco veces más ataques que hace sólo cuatro años. Muchas organizaciones están experimentando ataques al firmware (83% en un encuesta reciente de Microsoft, y esas son solo las organizaciones que saben que han sido atacadas), pero la protección del firmware obtiene solo una pequeña parte del presupuesto de seguridad.

VER: Política de inventario de components (TechRepublic High quality)

Parte del problema es la falta de herramientas utilizables para escanear y ver qué firmware está en uso en su pink y qué vulnerabilidades están presentes. Hay una gran cantidad de código mal escrito y reutilizado en el firmware, y pocos dispositivos se envían con una &#39lista de materiales&#39 de software package que le diga qué hay dentro de la carcasa. Si detecta un problema, la actualización del firmware es un proceso fragmentado y de bajo nivel, y no hay formas de aplicar mitigaciones de vulnerabilidad debajo de la capa del sistema operativo.

Todo es por eso que Microsoft está comprando ReFirm Labs, hogar del código abierto Binwalk , cuya plataforma de firmware Centrifuge automatiza el proceso de ejecución de análisis estático para descubrir a qué vulnerabilidades de firmware ya está expuesto.

«Las herramientas de seguridad básicas que tiene en el mundo del escritorio, que serían su pan y mantequilla para el CISO, simplemente no están ahí para IoT», dijo a TechRepublic el director de socios de seguridad empresarial y de SO de Microsoft, David Weston. «No hay forma de que consigamos 50 mil millones de dispositivos conectados a la nube y salgamos de este mundo de tecnología operativa sin aire al mundo de la nube conectado a la IA sin resolver estos problemas básicos».

«Es muy difícil para mí decir que Windows es seguro o Linux es seguro sin decir que el firmware es seguro, y es el lugar con menos atención. Es el código más privilegiado en la plataforma, incluso puede modificar el hipervisor, es el menos visto y menos actualizable. Es invisible para la mayoría de la tecnología de seguridad real «.

tr-centrifuge-aka-binwalk-enterprise.jpg "src =" https://www.techrepublic.com/a/hub/i/2021/06/17/12174324-c4d8-4f8c-b89a-b16410e16414/tr-centrifuge -aka-binwalk-enterprise.jpg

Centrifuge, también conocido como Binwalk Organization, automatiza los escaneos de firmwre para ayudarlo a comprender el estado de los dispositivos de IoT.

Imagen: Microsoft

De hecho, la mayor parte de la tecnología de seguridad depende del firmware para almacenar de forma segura las credenciales si el firmware está comprometido, también lo está la herramienta de protección de endpoints. «Pago a las personas para que sean los atacantes más eficientes posibles», señaló Weston (una de sus funciones es dirigir un equipo rojo para atacar Home windows). «Y nueve de cada 10 veces, elegirán un vector de firmware».

El firmware es un problema de seguridad potencial en Personal computer, servidores, dispositivos IoT, enrutadores de red y muchos otros equipos. «Todos los dispositivos informáticos modernos suelen estar compuestos de seis a siete, si no más en un servidor, sistemas operativos diferentes, uno de los cuales tenemos visibilidad. Tome una computadora portátil Surface area: tiene un chip de Wi-Fi allí , ejecutando algo como ThreadX, un sistema operativo en tiempo actual que (Microsoft) compró (en 2019), tienes un SSD, con un controlador integrado separado con una versión separada de Linux: ¿qué hay en ese SSD? »

tr-binwalk.jpg "src =" https://www.techrepublic.com/a/hub/i/2021/06/17/be866277-1f55-4195-b55d-003ae54f1954/tr-binwalk.jpg

Binwalk muestra qué firmware de sus dispositivos tiene vulnerabilidades conocidas.

Imagen: Microsoft

Algunos dispositivos de IoT están bien diseñados con buenas opciones de seguridad como arranque seguro y distribución aleatoria del diseño del espacio de direcciones otros tienen puertos abiertos y contraseñas predeterminadas absurdamente vulnerables. «Podrían haber hecho un gran trabajo o podría ser terrible simplemente no se puede saber», advirtió Weston. «La capacidad de determinar qué es lo bueno y lo malo es algo fundamental que necesitamos».

Un investigador de seguridad experimentado como Weston puede usar herramientas como BinWalk para investigar, pero incluso llegar al punto en el que se puede realizar un análisis estático para buscar vulnerabilidades en el firmware ha sido un proceso manual que implica una gran cantidad de secuencias de comandos y descomprimido que ReFirm hace más rápido y sencillo. .

«Tengo un laboratorio de IoT. Siempre puedo revertir estas cosas, pero ¿quién tiene tiempo para eso? Y tengo el lujo de ser mi propio ingeniero de seguridad ¿qué hay de todos los demás? Con ReFirm, en 10 minutos pude tomar un un montón de computadoras portátiles diferentes en mi casa y obtener una perspectiva, y mi mente se volvió loca. Estaba encontrando serios problemas de seguridad que me asustaron «.

La fuerza de ReFirm no es solo la calidad del escaneo y el análisis estático es que está diseñado para ser utilizable.

«Es arrastrar y soltar. Vas al sitio internet del fabricante de tu enrutador, descargas el archivo flash del firmware, lo arrastras y obtienes un informe pentest de una calidad impresionante de una herramienta de automatización. Escupe un PDF que dice &#39tienes estos CVE, aquí están los problemas de configuración, y aquí está lo lejos que está de los regímenes de certificación y cumplimiento muy comunes. Es realmente útil y mejorará al tomar tecnologías que Microsoft ya tiene en toda la empresa y comenzar a integrarlas en esta plataforma «.

Esta simplicidad es clave para ayudar a las organizaciones a controlar las amenazas de firmware, sugirió Weston.

«La comunidad de seguridad siempre se centra en lo que es genial y lo que sigue, y la comunidad de seguridad empresarial real está luchando con lo básico», señaló Weston. «Me miran para facilitar las cosas. No se trata tanto de agregar nuevas capacidades, aunque también quieren eso: se trata de tomar las cosas que son difíciles hoy y hacerlas más fáciles para que la gente recupere tiempo para dedicarlo a actividades más estratégicas asuntos.»

Conseguir visibilidad

Al CEO de Microsoft, Satya Nadella, le gusta predecir que habrá 50 mil millones de dispositivos conectados para 2030 Eso es una gran cantidad de vulnerabilidades potenciales en sistemas críticos que el application de seguridad true no suele abordar.

«Una pequeña fracción de ellos serán cosas que puedan ser analizadas por las herramientas actuales, y algo como ReFirm puede crecer para hacer todo lo demás», dice Weston. «Estos son dispositivos similares a dispositivos en los que no se puede simplemente instalar un paquete de análisis de vulnerabilidades, o incluso iniciar sesión en él. Debes tener medios alternativos, y este tipo de análisis estático de firmware tiene mucho sentido».

Encaja bien con el CyberX herramienta de descubrimiento de activos que Microsoft adquirió y que ahora forma parte de Azure Defender para IoT, que encuentra qué dispositivos están conectados y qué protocolos utilizan. Por simple que parezca, es raro que las organizaciones lo sepan.

«Lo primero que le dice es lo más importante en seguridad, que es lo que hay en mi red. No subestime lo difícil que es eso en su crimson empresarial promedio», señaló Weston. «El straightforward hecho de saber &#39oh, mi ascensor está hablando de SNMP sin problemas&#39, es algo que es difícil de catalogar para la mayoría de las empresas».

Eso le da una línea de foundation para que sepa cuándo ocurre un comportamiento inusual que podría significar que está bajo ataque. «Si algún protocolo Modbus de aspecto extraño comienza a dispararse a través de su red que no estaba allí antes, podría estar viendo una pieza de ransomware».

Lo que ReFirm agrega es saber si debe sentirse cómodo con los dispositivos que CyberX descubre que están conectados a su crimson, dice Weston. «¿Debería haber conectado alguno de estos dispositivos para empezar? Si tienen OpenSSH para rootear con la contraseña 123, tan bueno como es CyberX, simplemente no debería tener eso en su crimson».

Planes ReFirm de Microsoft

Hoy, ReFirm necesita que usted proporcione los archivos de firmware, pero Microsoft planea crear una base de datos con la información del dispositivo, dice Weston. «Conecta CyberX y descubre los dispositivos, los monitorea y le pregunta a ReFirm &#39¿sabe algo sobre el dispositivo IoT X o Y&#39? Esperemos que hayamos escaneado previamente la mayoría de esos dispositivos y podamos propagar la información. y para cualquier cosa que no tengamos, existe la interfaz de arrastrar y soltar para hacer un análisis personalizado «.

Tener esa visibilidad de lo que hay en su pink y si es seguro tenerlo en su purple es un buen primer paso. El servicio Azure Device Updates ya puede enviar actualizaciones de firmware de IoT a través de Home windows Update. La visión más amplia de Microsoft es crear un servicio basado en Home windows Update que pueda manejar una gama mucho más amplia de dispositivos de terceros, dice Weston.

«Vamos a utilizar Windows Update, que la gente ya conoce y confía los martes de parches, y queremos impulsar el IoT y los dispositivos de borde en ese modelo. El sistema de actualización de Microsoft es un producto bastante conocido, casi todos los gobiernos El regulador lo examinó de una forma u otra, por lo que nos sentimos bien de poder atraer a los clientes hacia él «.

Los fabricantes más pequeños generalmente no tienen la experiencia para construir y asegurar sus propios mecanismos de actualización, señaló Weston. «Y no creo que los clientes quieran que lo hagan, porque no va a tener (opciones como) &#39Solo quiero esto a las 2 am, solo quiero poner en escena este nivel de criticidad&#39. Ya tienen un proceso configurado para eso Tienen Qualys y Nessus en el escritorio, pero no tienen el equivalente para IoT. Lo que creo que ReFirm permitirá que las empresas hagan es llenar ese vacío y luego permitir que la gente use Azure Product Update para programarlo. »

VER: El futuro del trabajo: herramientas y estrategias para el lugar de trabajo electronic (PDF gratuito) (TechRepublic)

ReFirm será útil incluso con seguridad de hardware para firmware, como dispositivos de núcleo seguro. Además de estar disponible en Computer system y servidores, Secured-main está disponible como certificación para dispositivos IoT, que deben tener instalado el agente Azure Defender for IoT y realizar la recopilación de registros, la telemetría y las actualizaciones de dispositivos.

En el futuro, a Weston le gustaría que ReFirm se convirtiera en parte de la certificación. «No solo para asegurarse de que envía el dispositivo de forma segura, sino que también lo escanea con regularidad con esta tecnología de firmware ReFirm y mantiene el firmware actualizado».

A pesar del nombre, es posible que ReFirm no se limite al firmware. Microsoft tiene herramientas de análisis estático y dinámico que puede agregar al producto, que Weston comparó con VirusTotalActualizaciones frecuentes con nuevas opciones de análisis. «Puedo seguir poniendo capas de herramientas en ese proceso de análisis. Creo que esto tiene la oportunidad de ser un producto related a VirusTotal que, en lugar de buscar malware, busca vulnerabilidades en un objeto arbitrario. Estamos enfocados en el firmware porque parece la aplicación correcta, pero podrían ser instantáneas de VM o muchas, muchas otras cosas «.

También hay buenas noticias para los fanáticos de la herramienta Binwalk de código abierto. Microsoft invertirá mucho en eso, porque ya es ampliamente utilizado por varios equipos de la empresa que tienen solicitudes de funciones, dice Weston: «¡Creo que probablemente ya tengamos algunos años de thoughts pendientes!»

Ver también



Enlace a la noticia initial