Llegamos a ustedes gracias a:



Reportajes y análisis

3 formas de evitar ataques de firmware sin reemplazar sistemas

[24/05/2021] Una reciente publicación de seguridad advirtió que los ataques de firmware van en aumento. Citaron una encuesta a mil líderes en la toma de decisiones sobre ciberseguridad en empresas de múltiples industrias en el Reino Unido, Estados Unidos, Alemania, Japón y China, encontrando que el 80% de las empresas han experimentado al menos un ataque de firmware en los últimos dos años. Sin embargo, solo el 29% de los presupuestos de seguridad se ha destinado a proteger el firmware. La solución para esto, según Microsoft, son PCs con núcleo seguro que brindan "protección potente lista para usar, con capacidades como seguridad basada en virtualización, Credential Guard y protección DMA del kernel.

Yo diría que este tipo de protecciones no solo no son necesarias para todas las estaciones de trabajo, sino que no es allí donde deberíamos enfocar nuestros recursos. Puede que ni siquiera sea la razón por la que las actualizaciones de firmware son importantes. Además, los administradores de TI, cuando se les pregunta con qué ataques de firmware se han enfrentado en el último año, afirman que piensan en términos de firewalls o software VPN que debían ser actualizados, y no necesariamente firmware de las computadoras en su red.

Si bien algunos malware han utilizado vulnerabilidades de firmware para obtener acceso a la red, generalmente se combinan con otros ataques. Por ejemplo, el ransomware Robbinhood utilizó el Remote Desktop Protocol (RDP) de fuerza bruta para obtener acceso a la red. Una vez que se establecieron, utilizaron un controlador de kernel vulnerable de Gigabyte.

Ponga su presupuesto de seguridad donde obtenga mayor valor por su dinero. Si gasta recursos en la compra de computadoras que tienen firmware seguro, se perderá muchas más soluciones asequibles que pueden proporcionar soluciones de seguridad más tempranamente. Céntrese en las soluciones de seguridad basadas en riesgos, no en las que protegen contra ataques inusuales. A continuación, algunas opciones a considerar:

Bloquear archivos con macros de Office

El bloqueo de archivos de Internet, que incluyen macros de Office, es fácil y rápido de implementar y aborda un riesgo común. Esta opción está en las versiones modernas de Office.

Aplique esta configuración en la Política de Grupo con estos pasos:

  1. En una configuración de dominio, descargue las plantillas administrativas de la Política de Grupo desde la web.
  2. Abra la Consola de Administración de Políticas de Grupo.
  3. Haga clic con el botón derecho en el objeto de Política de Grupo que desee configurar y seleccione "Editar.
  4. En el Editor de Administración de Políticas de Grupo, vaya a "Configuración de usuario.
  5. Haga clic en "Plantillas Administrativas.
  6. Vaya a "Microsoft Word 2016.
  7. Vaya a "Opciones de Word.
  8. Vaya a "Seguridad.
  9. Vaya al "Centro de confianza.
  10. Abra "Bloquear la ejecución de macros en archivos de Office desde la configuración de Internet para configurarlo y habilitarlo.

Si una división de su oficina necesita macros, puede establecer esta configuración de directiva de grupo para que se aplique a una unidad organizativa específica y no afecte a toda la empresa.

Analizar cómo funciona la característica "marca de la web es una forma clave que puede adaptar su posición de seguridad para trabajar más eficientemente. Asegúrese de que su red esté diseñada para respetar esta configuración. Asegúrese de que sus desarrolladores comprendan completamente las implicaciones de deshabilitar o ajustar la marca del estado web de los archivos.

Configurar reglas de reducción de la superficie de ataque

Utilice las reglas de reducción de la superficie de ataque (ASR, por sus siglas en inglés) en Windows 10 para proteger las estaciones de trabajo. Los administradores a menudo no aprovechan las reglas de ASR, que pueden brindar protección adicional contra los atacantes. Es probable que varias reglas de ASR no afecten la vida diaria de sus usuarios. Por ejemplo, la regla ASR "Bloquear todas las aplicaciones de Office para que no creen procesos secundarios no causará problemas a la mayoría de los usuarios.

Mantenga el firmware y los controladores actualizados

Aún necesita soluciones para implementar firmware, pero no por la razón por la que podría pensar. A medida que se implementan los lanzamientos de funciones de Windows 10, a menudo exigen controladores más nuevos, especialmente para video o audio. Sin los controladores de video o audio adecuados, el proceso de actualización de la versión de funciones a menudo se bloquea.

Luego está el problema de los conductores vulnerables. Los atacantes utilizarán cualquier medio para realizar movimientos laterales, o elevar privilegios una vez que obtengan acceso a los sistemas. Incluso para los sistemas existentes, tener la capacidad de administrar y mantener los controladores es una necesidad clave. Microsoft ha trasladado recientemente la oferta de controladores. De anteriormente estar fuera del sistema operativo, ahora son parte del proceso de actualización de Windows

Si ha sido administrador de red durante años, es posible que esté un poco cansado y no esté dispuesto a aprobar controladores, especialmente a través del proceso de Windows Software Up-date Services (WSUS). Muchos administradores tienen historias de problemas en los que un controlador proporcionado por Windows no funciona correctamente, lo que requiere una reversión del sistema.

Algunos proveedores de computadoras ofrecen aplicaciones para monitorear e instalar actualizaciones de firmware y controladores. Me he sentido cómodo dejando que estas aplicaciones de proveedores ofrezcan e instalen controladores. Todavía estoy en el proceso de pasar al mismo nivel de comodidad con los controladores que se me ofrecen dentro del proceso de actualización de Windows.

En Ignite, Microsoft anunció que probará un nuevo proceso para implementar controladores en sus sistemas. Se abrirá como una vista previa privada, y proporcionará un nuevo servicio de despliegue para Intune y Microsoft Graph en la segunda mitad del 2021. Los administradores de Configuration Manager se beneficiarán de lo que están anunciando, sin cambiar la forma en que brinda servicios a las actualizaciones de Windows con WSUS.

A los que estén interesados en obtener más información, Microsoft les recomienda registrarse en su programa de vista previa. Regístrese en el vecindario de ingenieros en el Programa de Conexión de Clientes de Windows para mantenerse informado. Inicie sesión y seleccione la opción "Vista previa privada de actualizaciones de controladores y firmware en la pregunta 5 para descubrir más. Incluso si no participa en la versión preliminar pública o la versión beta, esta es una excelente manera de mantenerse informado.