Microsoft promociona las primeras PC que se envían de forma nativa con el chip Pluton seguro

Microsoft promociona las primeras PC que se envían de forma nativa con el chip Pluton seguro


A medida que las organizaciones continúan lidiando con la forma de administrar una fuerza laboral híbrida, la seguridad fuera del firewall corporativo continúa desempeñando un papel muy importante en las operaciones de TI diarias.

Tras el lanzamiento en octubre de Windows 11, que contaba con características destinadas a permitir el trabajo híbrido, Microsoft anunció la semana pasada las primeras PC con su tecnología de seguridad Pluton chip-to-cloud. La tecnología tiene como objetivo proteger las computadoras de los trabajadores remotos y otros.

En CES, Microsoft anunció que Lenovo y el fabricante de chips AMD lanzaron las primeras computadoras portátiles, ThinkPad Z13 y ThankPad Z16, que vienen de forma nativa con los chips de seguridad Pluton. El precio del ThinkPad Z13 comienza en $1549, el precio del ThinkPad Z16 comienza en $2099. Ambas computadoras portátiles estarán disponibles en mayo y Lenovo dijo que no hay costo adicional asociado con el chip Pluton en su interior.

Pluton estará deshabilitado de forma predeterminada en las plataformas Lenovo ThinkPad 2022 (específicamente, Z13, Z16, T14, T16, T14s, P16s y X13 con procesadores de la serie AMD 6000). Los clientes tendrán la capacidad de habilitar Pluton ellos mismos, dijo un portavoz de Lenovo.

Cuando se le preguntó por qué el chip está deshabilitado inicialmente, el portavoz dijo que los clientes empresariales «nos han dicho que prueban y evalúan exhaustivamente cualquier nuevo software o característica relacionada con la seguridad que se introducirá en su red y pueden optar por habilitar Pluton en sus dispositivos como mejor les parezca. A medida que Pluton se lance al mercado y tengamos tiempo para evaluar la demanda de los clientes para la habilitación de la fábrica, revisaremos la habilitación [it].»

El procesador Pluton tiene como objetivo brindar una mayor protección que el Módulo de plataforma confiable (TPM) existente, ya que es un chip de seguridad dedicado que maneja funciones de seguridad como BitLocker, Windows Hello y System Guard.

Windows 11 vino con una gran cantidad de actualizaciones de seguridad, una de las cuales fue la incapacidad de deshabilitar funciones existentes como UEFI, libro seguro y el TPM criptográfico. Windows 11 es un sistema operativo preparado para Zero Trust diseñado para ser seguro desde el chip hasta la nube, con verificaciones de seguridad comprobables integradas y activadas de forma predeterminada.

TPM 2.0 se utiliza para generar y proteger claves de cifrado, credenciales de usuario y otros datos confidenciales para que el malware y los atacantes no puedan acceder a los datos ni manipularlos.

El chip Pluton es un procesador de seguridad especialmente diseñado desarrollado a través de un esfuerzo conjunto entre Microsoft y los principales fabricantes de silicio, incluidos AMD y Qualcomm. Su objetivo es proteger las PC contra algunos de los ataques de malware más sofisticados mediante el almacenamiento más seguro de las credenciales de usuario (incluida la información de huellas dactilares), identidades, datos personales y claves de cifrado. El procesador de seguridad incorporado reúne la funcionalidad de TPM 2.0 con la capacidad de actualizar y agregar dinámicamente nuevas funciones de seguridad sin problemas a través de Windows Update, el servicio de Microsoft que instala el último software/firmware en una computadora.

El «hardware y software estrechamente integrados» ayuda a proteger contra las vulnerabilidades de seguridad al agregar visibilidad y control adicionales, y es más adaptable a los cambios en el panorama de amenazas, según Microsoft.

El chip Pluton está integrado en la matriz de la CPU de un dispositivo y, por lo tanto, es más difícil de acceder para los atacantes. La información confidencial almacenada en él no se puede eliminar, incluso si un atacante ha instalado malware o tiene posesión física de la PC, porque el chip está aislado del resto del sistema. El chip discreto también ayuda a prevenir las técnicas de ataque emergentes, como la ejecución especulativa (un ataque de canal lateral) que explota el comportamiento y la funcionalidad de la CPU.

Pluton puede actuar como TPM o proporcionar seguridad adicional a un dispositivo junto con un TPM discreto de terceros, según Matt Wo, portavoz de Microsoft Cybersecurity.

“Nuestros socios tienen la opción y la flexibilidad de ofrecer Pluton con o sin un TPM de terceros”, dijo Wo en una respuesta por correo electrónico a Computerworld. «Cuando Pluton se configura como TPM, protege las claves de BitLocker que se utilizan para ayudar a cifrar y proteger los datos de los clientes almacenados en el sistema».

Patrick Hevesi, vicepresidente analista de Gartner, dijo que el mayor beneficio del chip Pluton es la posible eliminación de los ataques de canal lateral físico contra los canales de comunicación independientes de TPM a CPU.

Los ataques de canal lateral no tienen como objetivo las debilidades de los sistemas criptográficos en sí mismos; en cambio, el malware busca fugas de información que puedan indicar algo sobre el funcionamiento del sistema criptográfico. Por ejemplo, los ataques acústicos pueden grabar el sonido de las pulsaciones de teclas de un usuario para robar su frase de contraseña o la radiación del campo electromagnético (EMF) emitida por la pantalla de una computadora puede usarse para ver información antes de que se cifre.

«Dado que el proceso de seguridad de Pluton se integrará directamente en los chips System on a Chip (SoC), no debería haber forma de llegar al canal sin destruir el chip», dijo Hevesi por correo electrónico. «Además, de acuerdo con las especificaciones de Microsoft, las claves nunca abandonarán el límite de seguridad de Pluton, lo que ayudará a prevenir ataques como la ejecución especulativa y otros tipos de ataques de material clave».

Otro beneficio de la arquitectura Pluton es que Microsoft controlará las actualizaciones de firmware del procesador de seguridad y permitirá actualizaciones directas desde Windows Update; eso le permite a la compañía controlar y asegurar el código de firmware y continuar agregando nuevas funciones de seguridad a medida que se lanzan nuevas versiones de Windows, según Hevesi.

Microsoft también podrá mejorar las funciones de seguridad de hardware y software, como arranque seguro, arranque medido y seguridad basada en virtualización directamente en un solo procesador SoC.

«Esto ayudará a prevenir incluso ataques remotos que intentan cambiar el kernel o el proceso de arranque del sistema operativo. El chip Pluton ayudará a proteger los dispositivos remotos debido a las integraciones de características de seguridad basadas en la capa física y el software», dijo Hevesi. «Esta tecnología también se puede aplicar a dispositivos en las instalaciones para posiblemente prevenir ataques internos físicos y también han agregado esta tecnología a Azure Sphere en la nube».

No todo el mundo cree que el nuevo chip Pluton es la seguridad de principio a fin.

Michael Suby, vicepresidente de investigación del servicio de investigación Security and Trust de IDC, dijo que la plataforma SoC es un avance útil que a corto plazo no cambiará radicalmente las decisiones corporativas de compra de PC.

«Una posible secuencia de explotación de actores de amenazas podría tomar posesión física clandestinamente de la computadora portátil del ejecutivo, abrir el dispositivo e infectarlo a nivel de hardware, y luego dejar el dispositivo, aparentemente tranquilo para el ejecutivo y los posibles equipos de seguridad de TI». Suby dijo.

Las nuevas computadoras portátiles de Lenovo funcionan con procesadores AMD Ryzen 6000 Series, que integran el chip Pluton Security en las nuevas PC con Windows 11. El chip Pluton se basa en la tecnología utilizada durante años en Microsoft Xbox y Microsoft Azure Sphere.

“A medida que avanzamos en esta nueva era de trabajo híbrido, necesita soluciones de seguridad modernas que brinden protección de extremo a extremo desde cualquier lugar”, dijo Wo. “Windows 11 fue diseñado para elevar el nivel de seguridad, listo para usar, para habilitar protecciones como Windows Hello, Device Encryption, seguridad basada en virtualización (VBS), integridad de código protegido por hipervisor (HVCI) y Secure Boot, una combinación que se ha demostrado que reduce el malware en un 60 %”.

Microsoft dijo que muchas de las actualizaciones de Windows 11 y el diseño colaborativo del chip se inspiraron en temas de trabajo híbrido.

“Está claro que los últimos años han fomentado grandes aprendizajes que nuestros socios han integrado en el diseño de estos dispositivos. Estos aprendizajes, y las nuevas formas de trabajar, también influyeron en muchas de las innovaciones en el diseño de Windows 11”, dijo Nicole Dezen, vicepresidenta de ventas de socios de dispositivos de Microsoft, en una publicación de blog.

Derechos de autor © 2022 IDG Communications, Inc.

Ver noticia en: www.computerworld.com (En ingles)