Windows 11: Los nuevos requisitos de hardware y su impacto en la seguridad empresarial

Los requisitos de hardware para Windows 11 han generado mucho debate sobre los cambios exactos en las PC y los procesadores más nuevos; también han llevado a las empresas a pensar en las características de seguridad que necesitan en el hardware.

El segundo informe de Security Signals de Microsoft muestra que los responsables de la toma de decisiones sobre seguridad empresarial están preocupados por el impacto de la seguridad del trabajo híbrido y esperan que el hardware de PC ayude, según Dave Weston, director de seguridad de SO en Microsoft.

"Por un lado, esto es algo intuitivo porque se pierden los sistemas de detección de intrusiones y algunos de los análisis basados en la red y, por supuesto, la protección física de estar en el campus". Pero también subraya que si bien Windows 10 tiene las mismas características para enfoques de seguridad de confianza cero que están integrados en Windows 11, no se han adoptado ampliamente porque la gente simplemente no las activa.

"Tenemos seguridad basada en virtualización, tenemos muchas cosas que pueden ayudar a las personas que intentan proteger el entorno de trabajo híbrido, pero no se activa de forma predeterminada, es difícil de configurar, hay problemas de rendimiento... Tal vez ingenuamente, dijimos al comienzo de Windows 10 que simplemente pondríamos todas estas grandes características y los clientes las activarían y configurarían a través de políticas de grupo. Con Windows 11, estamos comenzando desde una posición muy diferente; solo nos otorgamos crédito por el valor de seguridad cuando está activado de forma predeterminada", dijo Weston.

"Estamos llamando a Windows 11 un sistema operativo 'listo para la confianza cero' y eso significa que más de esas cosas que solías tener que esforzarte como persona de TI, tal vez haciendo seguridad e informática y llevando muchos sombreros, solo están activadas de forma predeterminada". (Aunque si estás actualizando PCs, aún tendrás que activar estas características tú mismo.)

"Con Windows 11, el acceso condicional, System Guard, la atestación en tiempo de ejecución... Estoy realmente emocionado por el efecto que tener más prevención activada de forma predeterminada en las nuevas PCs tendrá en estos clientes", destacó.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

"No fui y creé un montón de protecciones y otras cosas en el sistema operativo; me concentré en el rendimiento, la confiabilidad y la compatibilidad de habilitar esas características de forma predeterminada".

Índice de Contenido
  1. Listos para refrescarse
  2. Conteniendo el problema
  3. Integrando Pluton

Listos para refrescarse

Tener esas características activadas de forma predeterminada sin ninguna de esas preocupaciones también depende de los nuevos requisitos de hardware para Windows 11, y eso es algo que la encuesta sugiere que las empresas realmente desean.

Windows 11: Los nuevos requisitos de hardware y su impacto en la seguridad empresarial - Seguridad | Imagen 1 Newsmatic

El ochenta y seis por ciento considera que el hardware obsoleto deja a su organización más vulnerable a los ataques (y dice que casi un tercio de su hardware se considera obsoleto); el 80% dice que la protección de software por sí sola no es suficiente y casi el 90% dice que el hardware moderno les ayudará a protegerse de las amenazas futuras. Eso es un cambio bastante importante en la actitud, según nos dijo Weston.

"Se ha hecho mucho hincapié en comprar detección y respuesta en el punto final, comprar SIEM, hacer [amenaza] caza, etc. Y por lo tanto, ver que los respondedores de seguridad vuelven y dicen 'necesitamos hardware' es realmente interesante."

Hablar con los clientes de Microsoft en más profundidad llevó a Weston a creer que el volumen de amenazas está detrás del interés en el hardware para la seguridad. "Lo que estoy escuchando es que, dados el voraz ataque de los atacantes y el panorama de amenazas, la detección funciona muy bien; pero es posible que pocas empresas realmente puedan tener suficientes personas para investigar y solucionar cada uno de esos problemas. Por lo tanto, lo que estamos empezando a ver es un retorno a la antigua prevención; cuanto más podamos reducir el embudo, mejor podremos actuar y solucionar [esas amenazas]".

Cómo proteger tu computadora de los virus: métodos y consejos

Según la telemetría de los Insiders de Windows que están probando Windows 11, Weston dijo que muchas PC están listas para ejecutar estas protecciones de seguridad basadas en hardware y, en muchos casos, no notarás que están funcionando.

"[Vimos] un porcentaje increíblemente alto de requisitos de hardware cumplidos, incluso si era opcional, lo que creo que es revelador dada la cantidad de nuestra población interna y la variedad [de dispositivos]. Los requisitos de hardware obviamente han impactado a algunas personas, pero hay muchas, muchas, muchas personas que pueden seguir ejecutando el programa Insider sin problemas. Un porcentaje muy alto de uso de TPM y algunas de las otras funciones clave del hardware. Una vez más, tenemos todo tipo de pruebas de regresión en cuanto a rendimiento y confiabilidad, y los números han sido los que esperábamos. No hay regresiones significativas, no hay problemas importantes, no hay problemas de NPS [Net Promoter Score]. Ha sido bastante transparente y no ha sido un problema, lo cual es para mí el estándar de oro: cuando aumento el nivel de seguridad y la gente ni siquiera sabe que está ahí".

No todas las empresas se unen al programa Insider de Windows, por lo que es posible que los entornos comerciales no estén bien reflejados en esos números y que encuentren los valores predeterminados de seguridad más disruptivos. Hay una nueva guía detallada sobre la arquitectura de seguridad de Windows 11 para ayudarlos, pero las pruebas de aplicaciones también pueden ser clave para la adopción comercial, especialmente a medida que el equipo de Windows comienza a construir la seguridad sobre la nueva base.

"Muchas de las cosas que quiero hacer en cuanto a las credenciales requerirán que las personas, creo, hagan un poco más de pruebas: si aprovechas los antiguos controladores de tarjetas inteligentes y los trasladan a la seguridad basada en virtualización y los aíslan, habrá más casos de prueba que deben ocurrir".

Algunas de esas pruebas se pueden realizar en el servicio Test Base de Microsoft y en Windows 365; esto pronto aprovechará las nuevas máquinas virtuales de "iniciar confiable" en Azure, que él llama "VM con núcleo seguro" con TPM virtuales y características de seguridad basadas en virtualización como Credential Guard.

Windows 11: Los nuevos requisitos de hardware y su impacto en la seguridad empresarial - Seguridad | Imagen 2 Newsmatic

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Conteniendo el problema

La seguridad basada en hardware ayudará a los defensores hoy, pero los éxitos del programa Insider sugieren que también coloca a Windows 11 en una buena posición para agregar más características, comenzando con el soporte prometido para aplicaciones de Android, que depende de la virtualización.

"La virtualización puede introducir problemas, especialmente en hardware más antiguo. El piso [de hardware] que tenemos hoy creo que nos coloca en una excelente posición para tener una excelente experiencia allí. No se trata solo de cosas como el Control basado en el modo; hay muchas mejoras arquitectónicas desde los procesadores de octava generación y en adelante".

Más adelante, la virtualización podrá proteger las aplicaciones ejecutándolas en contenedores individuales de Krypton, una característica que Microsoft anunció para lo que iba a ser Windows 10X pero aún no ha incorporado en Windows 11.

Los usuarios empresariales ya están adoptando características de seguridad similares, como Windows Defender Application Guard para Edge y Office, dijo Weston, especialmente con el aumento de los exploits de día cero para los navegadores. "Estamos viendo que muchas personas se sienten atraídas por eso. En el ámbito comercial, eso nos está preparando para aumentar el soporte para una [mayor] variedad de aplicaciones".

Esas características no están dirigidas a usuarios consumidores, pero Weston dijo que Microsoft se ha sorprendido por la cantidad de personas que han estado utilizando la función de Windows Sandbox para aislar aplicaciones. "Originalmente, la idea era que esto es una gran tecnología empresarial. Obviamente está optimizada para la seguridad, por lo que a veces hay compensaciones en la experiencia. La percepción era que los consumidores no estarían interesados en eso, y los datos cuentan una historia diferente. Hay una gran participación en Sandbox, por lo que eso nos está motivando mucho para hacer cosas similares en el futuro. Y obviamente, con Windows 11 que tiene esa buena línea base de hardware y buen rendimiento en cuanto a virtualización, hace que sea aún más tentador innovar en ese espacio".

"Realmente ha capturado nuestra imaginación sobre las cosas que podemos hacer en Windows 11 en el futuro al exponer más de estos escenarios a los consumidores".

Protege tus contraseñas con PAM: Tu aliado para la seguridad

Desde el lado del desarrollador, Kevin Gallo, vicepresidente corporativo de la Plataforma de Desarrollo de Windows, nos dijo que tener los contenedores de aplicaciones correctamente será clave para lograr la adopción de los desarrolladores. "Hay un equilibrio [que alcanzar]; si pones demasiada seguridad en un contenedor, se rompe la funcionalidad; si no tienes uno, las aplicaciones no están contenidas, por lo que una aplicación puede afectar a la otra, por lo que si una aplicación tiene malware, de repente todas las aplicaciones pueden tenerlo. Entonces, creemos firmemente que la contenedorización es algo bueno".

El contenedor de aplicaciones UWP no forma parte del Windows App SDK todavía porque Gallo señala irónicamente que "había partes que eran amadas y partes que no eran amadas". Predice que el modelo de contenedor de aplicaciones del futuro tendrá cierta flexibilidad en el equilibrio entre funcionalidad y seguridad, probablemente con varios ajustes de seguridad diferentes, pero aún no se han decidido. Espere ver versiones preliminares para TI y desarrolladores para recibir comentarios para que la contenedorización sea fácil, pero no se interponga en su camino. "Lo que hemos aprendido es que si no funciona para los desarrolladores, simplemente no lo adoptarán".

Integrando Pluton

Los requisitos de Windows 11 incluyen un TPM; en hardware futuro, eso incluirá el propio hardware de seguridad Pluton de Microsoft. Weston no confirmó cuándo se lanzarán las PC con Pluton más allá de decir "muy pronto" y "en el período de envío de Windows 11".

El arranque seguro de Windows 11 mitiga por completo los ataques actuales como el rootkit UEFI que Kaspersky encontró recientemente en el spyware FinFisher. "Iniciar el arranque temprano es una progresión natural para los atacantes que intentan evadir una mayor visibilidad y mayor prevalencia de los agentes de punto final; vimos eso en ataques como SolarWinds. Windows 11 está en una posición realmente sólida para ayudar con eso".

Pero Pluton será importante para mitigar ataques futuros. "La mejor manera de salir de una situación de crisis es prevenirla antes de que suceda", explicó.

"Nuestra perspectiva siempre ha sido que debemos tener un arranque temprano y una base sólida; de lo contrario, suceden cosas realmente malas como que el kit de arranque desactiva Windows Defender, los atacantes ingresan y se vuelven invisibles. Parte de nuestro trabajo es integrar ese sistema [para] asegurarnos de que los agentes [de seguridad] tengan una base sólida y que no se puedan manipular".

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

Otro efecto secundario de la especificación de hardware de Windows 11 ha sido mostrar que incluso las PC con TPM integrado no siempre lo han estado utilizando para proteger el sistema. Y no haber tenido TPM activado significa que es posible que no se hayan probado ampliamente en la comunidad de seguridad como se esperaba. "A medida que obligamos a más personas a activar un TPM, creo que el TPM se convertirá en un camino más crítico en términos de fundamentos: ¿se puede actualizar, está disponible, es confiable? Estamos viendo en la telemetría que a medida que se usan los TPM, más de sus funcionalidades exponen algunas limitaciones. Ahí es donde entra Pluton.

"Pluton hace muchas cosas; es una herramienta muy versátil para la seguridad, pero su función principal es hacer que los TPM sean súper disponibles y súper confiables". Y eso significa que las características de seguridad futuras se construirán sobre una base segura hasta el hardware.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Windows 11: Los nuevos requisitos de hardware y su impacto en la seguridad empresarial , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.