Microsoft y sus socios fabricantes de PC diseñan equipos con núcleo seguro

Recientes investigaciones en el campo de la seguridad demuestran que, a medida que se incorporan nuevas protecciones en los sistemas operativos y en los servicios conectados, los atacantes buscan otras vías de explotación, como el firmware. Los ataques dirigidos al firmware pueden comprometer mecanismos como el arranque seguro y otras funciones de seguridad implementadas por el hipervisor o el SO, lo que dificulta el diagnóstico cuando un sistema o un usuario se encuentran en peligro. Sólo en los últimos tres años, la Base de Datos Nacional de Vulnerabilidades del NIST ha registrado un aumento de casi cinco veces en el número de amenazas descubiertas contra el firmware de los dispositivos. Para combatir estas amenazas, Microsoft anuncia una nueva iniciativa conjunta con partners de fabricación de PC y de procesadores para diseñar PCs con núcleo seguro (Secured core PCs).

Estos dispositivos, diseñados específicamente para sectores como el financiero, el gubernamental o el sanitario, así como para los trabajadores que manejan datos muy sensibles, cumplen un conjunto específico de requisitos que contempla la aplicación de las mejores prácticas de seguridad de aislamiento y criterios de confianza en la capa de firmware, o el núcleo del dispositivo, sobre el que se sustenta el propio sistema operativo Windows.

Los PCs con núcleo seguro combinan protección de identidad, virtualización, sistema operativo, hardware y firmware para añadir otra capa de seguridad debajo del sistema operativo. A diferencia de las soluciones de seguridad basadas únicamente en software, los equipos con núcleo seguro están diseñados para evitar este tipo de ataques en lugar de simplemente detectarlos.

El esfuerzo de Microsoft en Windows Defender System Guard y Secured-core PC tiene el objetivo de garantizar, de formar consistente y verificable, la integridad del sistema operativo en los dispositivos con Windows 10. Estos requisitos permiten a los clientes arrancar de forma segura, proteger el dispositivo de vulnerabilidades de firmware, defender el sistema operativo de ataques, evitar el acceso no autorizado a dispositivos y datos y garantizar que las credenciales de identidad y dominio estén protegidas.

Utilizando las nuevas funciones de hardware de AMD, Intel y Qualcomm, Windows 10 ahora implementa System Guard Secure Launch como un requisito esencial de los PCs con núcleo seguro, añadiendo así protección durante el proceso de arranque frente a los ataques de firmware. Además de la funcionalidad de inicio seguro, Windows implementa medidas de seguridad adicionales que actúan cuando el sistema operativo se encuentra en ejecución.

Ser capaz de comprobar que el dispositivo ha arrancado de forma segura es otra pieza crítica de esta capa adicional de protección contra el compromiso del firmware. Por este motivo se implementa Trusted Platform Module 2.0 (TPM) como uno de los requisitos de dispositivos para PCs con núcleo seguro. Mediante su uso se ayuda a los clientes a habilitar redes zero trust utilizando la certificación de tiempo de ejecución de System Guard.

El ecosistema de partners de Microsoft permite a la compañía añadir esta capa de seguridad adicional en los dispositivos. Estas innovaciones se basan en el valor de Windows 10 Pro, que incorpora protecciones como el firewall, el arranque seguro y la protección contra la pérdida de información a nivel de archivos, que son funcionalidades estándar en todos los dispositivos. Entre los dispositivos que cumplen con los criterios Secured-core PC se incluyen los de Dell, Dynabook, HP, Lenovo, Panasonic y Surface.