Surface Laptop 4 de Microsoft es el segundo dispositivo Surface que usa Secured-core para proteger el firmware. Esto trae lo que solían ser funciones de seguridad opcionales que tenía que probar y administrar, y luego la seguridad integrada diseñada para las industrias más atacadas por los atacantes, aún más en la corriente principal. También es la primera PC de núcleo seguro disponible con un procesador AMD (y la segunda Surface con tecnología AMD).

El firmware como UEFI es un objetivo cada vez más popular para los ciberdelincuentes por la misma razón por la que los bancos atraen una atención no deseada: es donde se almacena información confidencial y valiosa, como credenciales y claves de cifrado. Secured-core protege el firmware al hacer que el procesador ejecute sus propias verificaciones para confirmar que UEFI dice la verdad cuando dice que no ha sido manipulado durante el proceso de arranque.

VER: Política de protección contra el robo de identidad (Premium de TechRepublic)

Surface Laptop 4 también protege contra dispositivos maliciosos que intentan extraer información de la memoria mediante el acceso directo a la memoria (DMA) al habilitar la protección DMA del kernel, así como otras características de seguridad de Windows, como la seguridad basada en virtualización (VBS) y la integridad del código forzado por hipervisor. (HVCI).

Habilitar estas funciones de seguridad de hardware de forma predeterminada (como lo hace Surface Pro 7+ para los negocios) reduce las formas en que se puede atacar una PC, lo que se traduce en menos ataques en estos dispositivos, dijo Mark Schreffler, director senior de administración de programas para ingeniería de superficie, en TechRepublic . .

“Vemos la telemetría interna sobre esto en Microsoft. Si envía con la seguridad de hardware mejorada habilitada de forma predeterminada, estos dispositivos experimentan menos de la mitad de la cantidad de ataques de malware y ransomware en la naturaleza. Como usuario final, simplemente está más seguro cada día.

Aún mejor, los usuarios tienden a no notarlo, dijo Schreffler. “Para mí, el enfoque son las funciones de seguridad para los usuarios finales, y casi quiero que no se den cuenta de eso, a menos que sea un departamento de TI que tome una decisión de compra.

"La gente siempre se preocupa por las funciones de seguridad: ¿qué pasará con la duración de la batería? ¿Caerá el rendimiento?"

Pero cuando Microsoft comenzó a habilitar la seguridad de hardware mejorada de manera predeterminada hace un año con Surface Book 3, "la belleza de esto fue que nadie se dio cuenta", dijo Schreffler.

Índice
  • Proporcionar dispositivos seguros
  • De la empresa al público en general
  • Proporcionar dispositivos seguros

    A los departamentos de TI les importará cuánto más fácil es implementar y administrar de forma remota la versión profesional de Surface Laptop 4. Pueden administrar y actualizar UEFI a través del modo de administración de Surface Enterprise y Microsoft Endpoint Configuration Manager, en lugar de iniciar físicamente en UEFI en el dispositivo. Si hay funciones UEFI que los empleados no necesitarán, pueden desactivarlas de forma remota por motivos de seguridad.

    Con los modelos de Surface recientes (Surface Laptop Go, Surface Laptop 3 y 4, Surface Book 3 y Surface Pro 7, Pro 7+ y Pro X), también pueden administrar UEFI a través de la nube con Intune a través del firmware del dispositivo de interfaz de configuración (DFCI) . Agregue Autopilot y Windows 10 Cloud Config, y las organizaciones pueden estar seguras de que los dispositivos están seguros y administrados desde el primer momento, ayudándolos a hacer la transición a un enfoque de confianza cero con los puntos finales.

    "El objetivo es que un cliente comercial solicite una máquina de Surface o de cualquier OEM y la envíe directamente desde la fábrica al usuario final. Viene con una imagen que el usuario puede usar para que el dispositivo sea seguro, necesita conectarse a la cadena de gestión”, dijo Schreffler. Y el dispositivo es seguro desde el primer momento: no necesita habilitar ninguna función de seguridad, viene de esa manera. No es necesario que TI se involucre en el medio o, peor aún, que el usuario final intente averiguar cómo configurar su dispositivo de forma segura.

    “Los espacios de trabajo híbridos están de moda en este momento. El costo para que un departamento de TI intercepte dispositivos en el medio, los administre y configure, y luego los envíe de regreso a sus usuarios: es un costo bastante alto desde una perspectiva comercial, y honestamente también es muy lento cuando tiene que enviar dispositivos a un equipo que podría estar disperso por todo el lugar.

    VER: Política de sensibilización y formación en seguridad (Premium de TechRepublic)

    Las PC domésticas no se inscribirán en los sistemas corporativos de administración de terminales de la misma manera, por lo que no necesitan las funciones de administración en la nube DFCI de los dispositivos Surface comerciales. Y la versión para consumidores de Surface Laptop 4 no tiene la misma protección contra manipulaciones en el propio hardware de seguridad, explicó Schreffler.

    “UEFI en nuestros SKU comerciales integra la interfaz de administración; no está en los SKU de los consumidores porque no los administran los entornos de Intune, no los administran las empresas. Tenemos un TPM discreto y algo de protección física en el dispositivo para vectores de ataque más avanzados. No estamos tan preocupados por los ataques de estados nacionales en su máquina doméstica, pero tenemos clientes que están preocupados por este vector de ataque y necesitan un refuerzo físico avanzado. A medida que construimos características de seguridad más avanzadas en nuestro SKU minorista, verá mucho más de esta protección contra la manipulación física contra atacantes avanzados: personas que hacen cosas que una persona normal no hace cuando encuentra un dispositivo en un autobús. ”

    Intentar penetrar físicamente o confundir electrónicamente los módulos de seguridad (observa cómo los investigadores de seguridad investigaron las nuevas AirTags de Apple) sigue siendo un ataque avanzado, no porque no se conozcan las técnicas, sino porque no escalan de la forma en que lo hacen los ataques de software y firmware, Schreffler dijo.

    “El conocimiento de lo que se necesita para hacer esto está más extendido. Todavía diría que el tiempo que tienes para dedicar a esto es bastante significativo. En la industria de consumo, simplemente no vemos eso porque el ROI es bajo. Es un ataque a un dispositivo a la vez; si tiene diez dispositivos, debe invertir tiempo en cada uno individualmente. No hay economías de escala en estos ataques.

    Por lo tanto, los atacantes se dirigirán a bancos y organizaciones donde lo que hay en la PC podría valer millones, pero no gastarán tanto tiempo y esfuerzo atacando las máquinas de los consumidores individualmente con un pago mucho más bajo.

    De la empresa al público en general

    Con Surface, Microsoft debe lograr un equilibrio entre el éxito del hardware y la no alienación de los OEM de PC; El CEO Satya Nadella siempre ha hablado de que Surface está aquí para establecer nuevas categorías, y una de esas categorías podría ser la seguridad del hardware de consumo.

    La primera PC con núcleo seguro fue la Surface Pro X, pero rápidamente la siguieron PC de fabricantes de equipos originales como Dell, HP y Panasonic. Según Schreffler, uno de los objetivos del equipo de ingeniería de Surface es "crear características y tecnologías para elevar el nivel de la industria de las PC: quiero que la gente, cuando piense en PC, piense en la seguridad".

    “Hemos estado trabajando con el equipo de Windows y también hemos trabajado en estrecha colaboración con AMD para asegurarnos de que podamos integrar esta tecnología en la amplia cartera. Si bien Surface Laptop 4 fue el primer dispositivo AMD lanzado con Secured-core, d 'Other Los OEM ahora también están habilitados”, agregó Schreffler.

    Es un poco más fácil para Microsoft, no solo porque el equipo de Surface puede trabajar directamente con los equipos de Windows, Azure e Intune, sino porque Microsoft puede adoptar un enfoque integral: diseña el hardware, crea su propio firmware y puede administrar a través de la nube y actualizarlo directamente a través de Windows Update. "Tenemos la ventaja de que todo es interno y no hay muchos terceros involucrados en nuestra cadena de suministro o en la fabricación real del dispositivo", señaló Schreffler. “Y a medida que descubrimos nuevas tecnologías o formas de hacer las cosas, podemos pasarlas al ecosistema OEM y, si es necesario, pueden recuperar estos elementos.

    La próxima ronda de anuncios de Surface será más adelante este año. Si bien algunas industrias siempre necesitarán un mayor nivel de seguridad, aparecerán más funciones de seguridad de dispositivos comerciales en el hardware de consumo para la temporada navideña, dijo a TechRepublic la directora de marketing de Surface, Megan Solar.

    “Nuestra misión es hacer que la seguridad empresarial sea accesible para todos. No debería tener que pagar más y comprar PC especiales solo para obtener funciones seguras.

    El impacto del phishing y el ransomware en las empresas y sus clientes se ha vuelto muy claro últimamente. Parte del problema es que elegir PC más seguras debe haber sido una decisión consciente de pagar más por dispositivos de alta gama y habilitar funciones de seguridad en ellos (generalmente después de extensas pruebas de compatibilidad de aplicaciones debido a preocupaciones sobre lo que podría fallar).

    "Queremos cambiar esa conversación a, 'oye, si eres un usuario normal, estás protegido'", dijo Schreffler. “Si desea administrar su entorno empresarial, si desea protección física, si desea protección de hardware avanzada, hay un SKU comercial para usted. Pero para todos los demás, navega por los sitios que quieras y con Edge y las funciones de seguridad, estarás bien.

    “Realmente tratamos de hacerlo más fácil para los usuarios. Muy pocas personas entienden este espacio y, sinceramente, no es nuestro objetivo educar, es nuestro objetivo simplemente hacer que sus vidas funcionen.