Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo reforzar Microsoft Edge contra los ciberataques

[01/04/2021] Soy lo suficientemente mayor como para recordar el sonido chirriante de un modem al conectarse a Internet. Ahora tenemos en nuestros bolsillos más tecnología que la que yo utilizaba con Netscape Navigator y Altavista para explorar la World Wide Web, y los navegadores web se han convertido en el portal a través del cual accedemos a la mayoría de nuestras aplicaciones y servicios críticos. A medida que nos adentramos en la era de la computación en la nube y el fin de Adobe Flash, es hora de que las empresas no solo estandaricen un navegador web, sino que se aseguren de que sus configuraciones e implementaciones sean lo más seguras posible.

Estandarice el navegador Edge basado en Chromium

Durante muchos años hemos tenido que instalar varios navegadores, porque los proveedores no daban soporte a los navegadores incorporados o dirigían sus aplicaciones a un solo navegador. Con Edge basado en Chromium es posible volver a un único navegador sin que el ecosistema de aplicaciones sufra efectos negativos.

Microsoft ha publicado una Security Baseline for Microsoft Edge version 85. También ha proporcionado el Security Compliance Toolkit 1.0, que incluye información y recomendaciones. Con este kit se puede utilizar la Política de Grupo o las secuencias de comandos para reforzar su navegador Edge contra las amenazas.

Objetivo de los certificados firmados con SHA-1

Un nuevo ajuste en el kit de la versión 85 de Edge, "Permitir certificados firmados con SHA-1 cuando son emitidos por anclas de confianza locales", está obsoleto (ya no está en desarrollo activo) pero es necesario para ayudar en la migración de los certificados firmados con SHA-1. Microsoft eliminará esta configuración del navegador a mediados del 2021 y no habrá forma de admitir certificados firmados con SHA-1 utilizando Edge. Migre lejos de SHA-1 tan pronto como pueda, ya que todos los principales navegadores han dejado de soportarlo. El NIST desaprobó SHA-1 en 2011 y Microsoft lo retiró de Edge e Internet Explorer en el 2017 porque el algoritmo de hash es susceptible de ataques de colisión que permiten la creación de certificados falsos.

Defina qué aplicaciones externas lanzar

La documentación de referencia también incluye una guía para que los profesionales de TI definan las aplicaciones basadas en el navegador que pueden lanzar una aplicación externa. Por ejemplo, si su organización utiliza Word, Excel o Teams en línea, puede asegurarse de que sus usuarios no reciban un aviso, sino que se abra la aplicación.

Defina las extensiones permitidas y bloqueadas

Puede descargar los archivos y plantillas de Políticas de Grupo para controlar mejor el navegador. Por ejemplo, puede establecer políticas para las extensiones como "ExtensionInstallAllowlist" y "ExtensionInstallBlcoklist". Estas controlan qué extensiones pueden o no pueden ser instaladas, respectivamente. Esto es similar a la política de grupo soportada por Google Chrome. Un valor de la lista de bloqueo de '*' significa que todas las extensiones están bloqueadas a menos que estén explícitamente en la lista de permitidas.

En el registro de Windows estas se encuentran en:

SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallBlocklist

Luego establezca el nombre del valor como números -1, 2 o 3- y el nombre de la extensión que desea bloquear como un valor REG_SZ. Recomiendo revisar qué extensiones quiere instalar en el navegador Edge. Los atacantes o los anuncios maliciosos suelen colarse en los sistemas a través de las extensiones. También he visto extensiones utilizadas para apoderarse del motor de búsqueda predeterminado. Establezca una línea de base de las extensiones que se permiten en su empresa. Examine y apruebe las extensiones de software codificadas por terceros en un entorno seguro.

Utilice la configuración de SmartScreen

Otro ajuste clave del navegador es SmartScreen, una tecnología de Microsoft que analiza los sitios web para determinar si son seguros. Microsoft revisa el contenido de los sitios web y su reputación, y proporciona automáticamente las siguientes protecciones en su navegador:

  • Soporte antiphishing y antimalware
  • Protección de URL y aplicaciones basada en la reputación
  • Integración del sistema operativo
  • Heurística y datos de diagnóstico mejorados
  • Gestión a través de la Política de Grupo y Microsoft Intune
  • Bloqueo de URLs asociadas a aplicaciones potencialmente no deseadas

Investigue el aislamiento del navegador

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA), recomienda que investigue el uso del aislamiento del navegador. Esta barrera crea un bloqueo entre el navegador y el sistema operativo, y desconfía de todo el tráfico web. En lugar de asegurar el navegador en la estación de trabajo con la Política de Grupo y otras configuraciones como se indica en la línea base de seguridad, el aislamiento del navegador establece la capacidad de navegar por Internet en una sesión remota en un despliegue o servidor en la nube.

La tecnología de aislamiento no es nueva y ha sido muy utilizada por grandes empresas y entidades gubernamentales. Hay dos tecnologías que soportan el aislamiento del navegador:

El aislamiento del navegador del lado del cliente puede no ser tan robusto como el aislamiento del navegador del lado del servidor, dado que no proporciona un aislamiento físico o de espacio aéreo. Las vulnerabilidades del software en el sistema operativo o en la tecnología del navegador del lado del cliente podrían dar lugar a una exposición.

El aislamiento del navegador del lado del servidor -o, en la actualidad, el aislamiento del navegador basado en la nube- establece una brecha de aire definitiva entre usted y la web. Empresas como Webgap y Authentic8 le permiten tener una barrera completa entre sus usuarios y su experiencia de navegación, al igual que otros proveedores.