[14/11/2021] A medida que avanzamos en la computación en la nube, su navegador es su sistema operativo. Si bien tendemos a contenernos en los parches de negocios para asegurarnos de que no haya efectos secundarios, puede ser peligroso adoptar ese enfoque con los parches del navegador. Caso en cuestión: Google reconoció los ataques de día cero a Chrome, el duodécimo y decimotercero, en una reciente entrada de blog. Debido a que Edge está construido en la plataforma Chrome, debe considerar cómo cada día cero objetivo en Chrome impacta al navegador Edge.
Nuevas opciones de actualización de Edge
Si su empresa necesita un poco más de tiempo antes de implementar las actualizaciones del navegador, debido al impacto en las aplicaciones de las líneas de negocio, hay otra forma de lidiar con los cambios que lo mantendrán actualizado con los problemas de seguridad. A partir de Edge 94, Microsoft ahora soporta varios canales de lanzamiento. En marzo, Edge pasó a un ciclo de desarrollo de cuatro semanas en el que se incluirán nuevas funciones en Edge cada cuatro semanas.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Microsoft ahora incluye una opción para actualizar funciones en Edge cada ocho semanas. Si desea permanecer en un navegador compatible, puede elegir el canal estable. Este es el más utilizado y se considera un "despliegue amplio”. Se actualiza cada cuatro semanas. El siguiente es Extended Stable, que permite un ciclo de lanzamiento más largo de ocho semanas y es totalmente compatible. El canal Beta todavía es compatible con Microsoft y tiene un ciclo de lanzamiento de cuatro semanas. Dos canales más, Dev y Canary, no son oficialmente compatibles y solo se consideran plataformas de prueba.
Para implementar Edge en Extended Stable, use la directiva de grupo para seleccionar la cadencia de parchado del navegador. Descargue e instale las últimas plantillas de gestión de la directiva de grupo Edge. Luego vaya -en el siguiente orden- a:
- Group Policy editor
- Computer Configuration
- Administrative Templates
- Microsoft Edge Update
- Applications
- Microsoft Edge
Seleccione "Target Channel override” y luego "Enabled”. En "Options”, seleccione "Extended Stable” de la lista desplegable "Policy”. Le recomiendo que evalúe la desaceleración del proceso de lanzamiento normal al Extended Stable para equipos de escritorio que requieren más estabilidad.
Super Duper Secure Mode de Edge
Edge está probando un nuevo modo, Super Duper Secure Mode, que se ofrece solo en la versión beta en este momento. Este nuevo modo eliminará la compilación Just-In-Time (JIT) de la línea de procesamiento V8, reduciendo la superficie de ataque que los delincuentes pueden usar para hackear los sistemas de los usuarios de Edge. Debe estar en uno de los canales beta para habilitar esta función. Para probar este modo, descargue la versión beta de Edge desde la página de lanzamiento de Edge Insider. También puede descargar las versiones Dev o Canary. Una vez que lo haya instalado, habilite el modo Super Duper Secure Mode yendo a edge://flags/#edge-enable-super-duper-secure-mode, y activando la nueva función. Luego se le pedirá que reinicie su navegador.
Modo Enhanced Safe Browsing
Chrome también tiene características de seguridad adicionales con su modo Enhanced Safe Browsing. Puede optar por este modo yendo a:
- Settings
- Privacy
- Security settings
- Security
Seleccione el modo "Enhanced protection” en "Safe Browsing”. Cambie de navegación estándar a Enhanced protection. Esto enviará las URL a Safe Browsing para verificarlas. También envía una pequeña muestra de páginas, descargas, actividad de extensiones e información del sistema para ayudar a descubrir nuevas amenazas. La configuración también envía enlaces y datos a su cuenta de Google cuando inicia sesión para protegerlo en todas las aplicaciones de Google. Por lo tanto, rastreará más de su navegación.
Otros controles de seguridad del navegador
Los controles adicionales que debe revisar incluyen la actual Windows Security Technical Implementation Guide para Google Chrome. Actualizada el 13 de julio del 2021, esta guía se publicó como una herramienta para mejorar la seguridad de los sistemas de información del Departamento de Defensa (DoD). Los requisitos se derivan del National Institute of Standards and Technology (NIST) 800-53 y documentos relacionados. Asegúrese de que sus navegadores solo soporten TLS.
Existen varias formas de establecer este valor. Para ajustar esto en el navegador, dentro del cuadro multifunción (barra de direcciones), escriba chrome://policy. Revise la configuración de "SSLVersionMin” y revise la columna "Policy Name” para configurarla para "tls1.2”. Si desea utilizar el método de registro, seleccione "Start regedit” y luego navegue hasta HKLM\Software\Policies\Google\Chrome\. Compruebe si el nombre del valor "SSLVersionMin” no existe o si sus datos de valor no están establecidos en "tls1.2”. Al igual que en la guía de refuerzo del navegador en los documentos de las Security Technical Implementation Guides (STIG), si el valor del registro no está allí, la computadora no pasará la prueba. Los STIG lo consideran un hallazgo de una debilidad de seguridad.
Para utilizar la política de grupo de Windows, vaya a la herramienta "Group Policy editor” con gpedit.msc. Luego navegue a:
- Policy Path: Computer Configuration
- Administrative Templates
- Google
- Google Chrome.
Mire "Policy Name: Minimum SSL version enabled”. Cámbielo a "Policy State: Enabled” y cambie el Policy Value a "TLS 1.2”.
El STIG también proporciona orientación para Edge. Al igual que en Chrome, establezca el valor de política de "Computer Configuration/Administrative Templates/Microsoft Edge/Minimum TLS version enabled” a "TLS 1.2”. Para no excluirlo, Firefox también tiene mandatos de seguridad.
Para todos los navegadores que tiene en sus sistemas, revise qué extensiones están instaladas y determine si desea limitarlas o bloquearlas de acuerdo sea necesario. A menudo, con la seguridad del navegador, ser proactivo y bloquear y limitar lo que se puede instalar es la mejor manera de estar seguro, y es prudente si tiene una empresa que tiene necesidades de seguridad extremas.
Como señala CISA, eduque a los usuarios para que tengan cuidado al abrir archivos adjuntos de correo electrónico o al usar el intercambio de archivos entre compañeros, la mensajería instantánea o las salas de chat. Ser consciente de dónde está navegando y en lo que está haciendo clic ayudará, en gran medida, a mantener sus sistemas seguros.
Basado en el artículo de Susan Bradley (CSO) y editado por CIO Perú