Black Hat 2013: Windows 8.1 ayuda a mantener sus datos seguros

- Dustin Ingalls, Gerente del Grupo de Programa para Seguridad & Identidad de Windows

Como Gerente del Grupo de Programa para Seguridad & Identidad de Windows, me emocionó asistir a Black Hat. Es una gran experiencia encontrarme con mis colegas del equipo Trustworthy Computing (TwC) de Microsoft y reunirme con algunos de los mejores expertos en seguridad del mundo.

Mientras que TwC anunció actualizaciones a su programa MAPP, de mi parte, mi asistencia al evento fue para discutir la visión de seguridad de Windows y cómo esto se traduce en nuevas mejoras de seguridad que entregamos en Windows 8.1.

La actualización de Windows 8.1 ofrece un espectro completo de nuevas y mejoradas capacidades de seguridad – desde características que habilitan dispositivos para que sean asegurados por completo por el departamento de TI, a opciones remotas de seguridad para dispositivos BYOD, hasta garantías para dispositivos personales que necesitan acceder a los recursos de la empresa desde casa.

Para todos aquellos que no pudieron asistir a Black Hat en Las Vegas, quiero hacer un resumen sobre lo más importante que se compartió en el evento.

#1 Hardware confiable

El hardware de confianza es un área clave de inversión para Microsoft en Windows 8.1. De manera frecuente, en un escenario BYOD, si un empleado adquiere una nueva computadora, puede ser una apuesta el que el dispositivo cuente con las herramientas adecuadas integradas que el departamento de TI requiere para asegurar que cualquier dato en ese dispositivo esté seguro. Con Windows 8.1 dejamos las dudas a un lado.

· El Módulo de Plataforma Confiable (Trusted Platform Module): TPM es un dispositivo de seguridad de hardware que provee un cierto número de funciones cryptoque incluyen almacenamiento seguro de claves y desempeño de medidas criptográficas. Es una gran herramienta para la empresa, pero ha sido una pieza opcional de tecnología para los dispositivos de consumo.

o TPM 2.0 es requerido para todos los dispositivos InstantGo (Conectados en Espera), lo que asegura que los dispositivos modernos estén listos para escenarios BYOD. Y en Windows 8.1, expandimos la estrategia detrás de TPM, que presenta testimonio de claves, que les permite asegurar que su clave privada esté atada de manera segura al hardware en lugar del malware, y la API WinRT de administración de tarjetas inteligentes virtuales para habilitar a las aplicaciones de la Tienda Windows a administrar y dar de alta tarjetas inteligentes virtuales.

o Trabajamos en busca de que TPM 2.0 sea requerido en todos los dispositivos para enero de 2015. Esto ayuda a los departamentos de TI a estar confiados en que los dispositivos que sus empleados lleven al trabajo sean capaces por completo de cumplir con las políticas de seguridad de la empresa.

#2 Control moderno de acceso

Con Windows 8.1 hemos enfocado mucha atención en los controles que los departamentos de TI pueden colocar en los dispositivos para restringir quién puede acceder de manera física a un dispositivo.

· Biométricos de primera clase: No es secretoque crear y recordar contraseñas es un fastidio (como mínimo) y una brecha en la vulnerabilidad de la seguridad para las compañías (en el peor escenario). Creemos que la solución para remplazar las contraseñas será, con el tiempo, la utilización de biométricos. Aunque las capacidades biométricas han estado disponibles desde Windows XP, las innovaciones en Windows 8.1, junto con el nuevo hardware que viene por parte de nuestros socios OEM, hará su huella digital más sencilla y más segura que cualquier otra cosa que hayan utilizado antes.

o Los biométricos van más allá de un desplazamiento, al que le dimos soporte con anterioridad, a una huella digital por completo capacitiva y puede ser dada de alta en cualquier dispositivo Windows 8.1 a través de Ajustes Modernos para un uso estándar y consistente de la experiencia Windows.

o Antes, dábamos soporte a los biométricos cuando un cliente ingresaba por primera vez a un dispositivo. Ahora, cada vez que el usuario ve el aviso de credencial Windows, él o ella pueden utilizar biométricos, para eliminar de manera efectiva la contraseña para ingresar a sitios seguros y validación de cuenta de usuario dentro de la aplicación.

o Para finalizar, hemos creado nuevas API para soportar biométricos en la plataforma WinRT. Utilizar biométricos en una aplicación de la Tienda Windows es tan simple como hacer una llamada de API.

· Autenticación multifactor para BYOD: Con Windows 8.1, trabajamos en la labor hecha en Windows 8 para reestructurar el proceso de administración de la Tarjeta Inteligente Virtual (Virtual Smart Card, VSC). En Windows 8.1 hemos agregado soporte para inscripción y administración vía API WinRT para que todos esos escenarios puedan tener soporte a través de una experiencia de aplicación moderna. Con esto, los negocios tendrán mayor flexibilidad y control sobre cómo los dispositivos se conectan a redes internas y facilitarlo para permitir un acceso seguro a los dispositivos personales en un ambiente BYOD.

· Identidades y dispositivos confiables: Vimos hace poco cómo las Infraestructuras Públicas de Clave (Public Key Infrastructures, PKI) o Autoridades de Certificado pueden ser blanco de los hackers, lo que deja vulnerable de ataques a un sistema. En Windows 8.1, incrementamos la confiabilidad de PKI al ayudar a administrar y dirigir las mejores prácticas de certificados y la adherencia a estándares a lo largo del ecosistema.

o Ahora contamos con un servicio que escanea los dos millones principales de sitios SSL/TSL en la web a diario para buscar anomalías o malas prácticas y notificar a los socios (autoridades de certificados o compañías que tienen un certificado fraudulento a su nombre) de manera rápida cuando identificamos estas anomalías.

o También dejamos atrás el “factor de conjetura” de la verificación de clave privada del lado del servidor. Por ejemplo, si un empleado tiene malware en su dispositivo personal, el malware puede interceptar la clave privada durante la inscripción o la renovación y comprometer su identidad. Con Windows 8.1, un servidor o un servicio pueden requerir pruebas (testimonio) de que los certificados privados y las claves están protegidas por el hardware. Si se prueba, se niega el acceso.

#3 Proteger datos sensibles

También hemos puesto muchos pensamientos en cómo los negocios pueden proteger sus datos incluso cuando estos residen en los dispositivos personales de los empleados.

· Encriptación generalizada de dispositivo:Con Windows 8.1, la encriptación de dispositivo ahora está disponible en todas las ediciones de Windows para dispositivos que soportan InstantGo. Si el dispositivo lo soporta, su encriptación puede ser habilitada de manera automática. Ya que InstantGo estará disponible en la mayoría de los dispositivos, esta funcionalidad estará presente a lo largo de la empresa Windows 8.1 Pro y Windows 8.1 Enterprise también se benefician de la característica completa de funcionalidad de BitLocker, que incluye BitLocker To Go, protectores de clave adicionales como el protector de clave de red, depósito de recuperación automática de clave a Active Directory, y otras poderosas características empresariales que aseguran que una unidad física no esté comprometida cuando las máquinas se extravíen o sean robadas.

· Borrado selectivo de datos corporativos:Con Windows 8.1, presentamos Eliminación Remota de Datos, que permitirá al departamento de TI borrar datos corporativos (como emails, adjuntos, datos corporativos que vienen de Carpetas de Trabajo) de dispositivos BYOD sin afectar los datos personales.

#4 Resistencia contra malware

Conforme evolucionan las amenazas de seguridad, seguimos con nuestros avances en medidas de resistencia contra malware, para estar un paso delante de los atacantes.

· Windows Defender Mejorado:Presentamos monitoreo de comportamiento de alto desempeño para Windows Defender que lo habilita para detectar ciertos malos comportamientos en memoria, el registro o el archivo de sistema, incluso antes de que hayan sido creadas las firmas.

· Mejoras a Internet Explorer: En la actualidad, los sitios web maliciosos pueden acceder en ocasiones a datos sensibles cuando explotan vulnerabilidades en extensiones binarias (como controles ActiveX). Estos son ejecutados de manera inmediata, cuando evitan la solución antimalware. En Windows 8.1, ofrecemos una API para Internet Explorar que habilita soluciones antimalware para hacer una determinación de seguridad antes de que se cargue una extensión binaria. Además, el Modo de Protección Mejoradaestá activo por defecto en Internet Explorer 11, para ayudar asegurar una navegación más segura.

La seguridad se mantiene como una alta prioridad para Microsoft, desde prácticas de desarrollo seguro hasta abordar vulnerabilidades emergentes, para colaborar con otros en la industria para proteger a nuestros clientes. Como parte de este compromiso, nos emociona que tanto negocios como consumidores experimenten las medidas de seguridad agregadas que presentamos con esta versión de Windows.

Windows 8.1 Preview está disponible para descarga aquí. Y como lo compartimos antes, Windows 8.1 Enterprise Preview también está disponible para que los clientes empresariales lo implementen en máquinas de prueba. Con Windows 8.1 Enterprise, verán todas estas nuevas características de seguridad, así como características únicas y específicas para los clientes empresariales que utilizan Windows Server.