La seguridad en Dell comienza en el hardware del dispositivo cliente. Muchos proveedores de seguridad abordan la seguridad como una capa que se encuentra sobre el dispositivo como software; sin embargo, nuestro enfoque comienza en la capa más profunda del dispositivo: la BIOS, que actúa como punto de control principal en un sistema, asegurando que todo el hardware de los equipos funcione en conjunto. Proteger la BIOS es fundamental para todos los dispositivos porque si un atacante obtiene acceso a este nivel puede tomar el control del resto del sistema.
El conjunto de capacidades de seguridad de clientes Dell se engloban bajo el título Dell Trusted Devices, una aproximación completa a la seguridad del puesto cliente que permite identificarnos como los clientes más seguros de la industria de PCs comerciales. También es importante destacar que el propio Microsoft categoriza a los equipos Dell como Microsoft Secured-core PCs
Capacidades de Seguridad a Nivel Hardware: Dell SafeID
Consiste en un chip de seguridad único en dispositivos comerciales Dell que almacena y procesa credenciales de autenticación de usuario en la capa de hardware segura en lugar de una capa de software a nivel sistema operativo susceptible de ser comprometida. De este modo protegemos contra el robo de contraseñas de credenciales avanzadas con autenticación biométrica mediante lectores de huellas digitales y tarjetas inteligentes.
Dell SafeID permite mantener seguros los datos de la organización, ya sea su propiedad intelectual o personal del cliente. La información identificable (PII) es fundamental para la seguridad de datos, los hackers utilizan ataques cada vez más sofisticados, y como las amenazas comunes se frustran con más frecuencia, los ciberdelincuentes están buscando formas más avanzadas obtener acceso a información crítica de seguridad. Debido a que las organizaciones cuentan con soluciones de seguridad de puesto cliente a nivel software, como antivirus de última generación, los ataques están siendo dirigidos a la capa de hardware.
Mientras que otros fabricantes centran sus esfuerzos de seguridad hardware únicamente con el uso del chip TPM o Trusted Platform Module, Dell utiliza un segundo chip denominado Dell SafeID como capa de seguridad hardware adicional. Este chip ayuda a proteger operaciones seguras aislándolas del sistema operativo y memoria, y en su lugar, todo el procesamiento y almacenaje de datos críticos tiene lugar en el chip Dell SafeID. Basándonos en estos principios proporcionamos una solución de seguridad basada en hardware para almacenar credenciales de usuario como contraseñas, información biométrica y códigos de seguridad que no es accesible a los atacantes.
Además de los beneficios descritos anteriormente, procedemos a detallar funciones clave de Dell SafeID de modo resumido:
- Credenciales de usuario más seguras gracias al almacenamiento y ejecución de código en un chip alternativo al chip TPM o el propio Sistema Operativo y un conjunto de algoritmos de cifrado como Suite B y Active ECC.
- Utilización de autenticación personal, Smart Card, Lector de Huellas y Contactless para acceder a las credenciales vs contraseña de 160-bit del chip TPM
- Permite que las aplicaciones almacenen sus claves de cifrado de forma segura y con un control de acceso a las mismas estricto mediante un esquema de autenticación Dell SafeID
- Aislamiento de las claves y plantillas, todo el uso de claves y plantillas se aíslan de modo que nunca son expuestas a un host inseguro. Un ejemplo de esta función incluye las plantillas de lectura de huellas dactilares que nunca serán expuestas fuera del control de seguridad de Dell SafeID
- Sellado del código de ejecución, la mayoría de las aplicaciones ejecutan sus operaciones seguras en el host de proceso x86, algo que expone la información a los atacantes. Con Dell SafeID las operaciones de seguridad se ejecutan en un contexto aislado evitando cualquier tipo de inspección o modificación durante el proceso de ejecución.
- Asegurando el almacenaje del código, muchas aplicaciones almacenan su código seguro en el disco duro, algo que las hace susceptibles a ataques ya que un hacker puede reemplazar partes del código con diferentes técnicas. Dell SafeID almacena el código de ejecución de las aplicaciones en su propio contexto seguro.
Capacidades de Seguridad a Nivel Hardware: Dell SafeBIOS
Es un conjunto de capacidades y soluciones de seguridad específicas únicas de Dell para la BIOS. Reduce el riesgo de ataques malintencionados a BIOS mediante diferentes mecanismos de protección, verificación, análisis y ejecución. Estas capacidades son detalladas a continuación:
- BIOS Verification: Verificación de BIOS automática, detectamos los ataques a BIOS y generamos alertas de seguridad. La alerta se genera automáticamente cuando la BIOS actual no coincide con la imagen BIOS almacenada. Lo que señala a una BIOS corrupta o atacada. La verificación de la BIOS puede ser local (on-host) o contra los servidores de seguridad de Dell (off-host)
- BIOS Authenticity Check: Verificación criptográfica de la BIOS y bloqueo del arranque
- BIOS Recovery: Recuperación de la BIOS de forma automática
- BIOS Capture: Almacenado de BIOS corrupta o atacada para su análisis que permite la realización de análisis forense mediante la captura de la imagen BIOS corrupta o atacada. Este tipo de ataques debe ser investigado y el primer paso es capturar la BIOS atacada
- BIOS Update: Verificación criptográfica de la firma digital de la actualización BIOS
- BIOS Runtime Protection: Bloquea la BIOS para que no se produzcan cambios
- BIOS Rollback Protection: permite bloquear las actualizaciones BIOS a versiones anteriores
- BIOS Indicators of Attack: Indicadores de Ataque BIOS, visibilidad y alerta de configuraciones o posibles manipulaciones de alto riesgo.
Capacidades de Seguridad a Nivel Software: Dell Trusted Device
Dell Trusted Device es el nombre del agente de seguridad que permite sacar un mayor partido a las capacidades de seguridad de hardware de los equipos cliente Dell. Una vez instalado, el cliente tendrá acceso a las soluciones de seguridad existentes y futuros desarrollos relacionados con la seguridad de equipos Dell. Además, proporciona a TI la capacidad de administrar y configurar las protecciones de forma centralizada y se integra con consolas de terceros. A continuación, procedemos a detallar los diferentes componentes y funcionalidades del agente de protección software.
Dell BIOS Verification Tool
Se trata de una herramienta única en el mercado que permite comprobar la integridad de la BIOS a través de los servidores de Dell Trusted Device en la nube de Dell. Otros fabricantes incluyen herramientas de verificación de BIOS de forma local, pero éstas son susceptibles a ataques físicos.
Las soluciones de seguridad BIOS de protección local no disponen de la capacidad de detectar si la BIOS o Firmware UEFI han sido comprometidos con malware o root toolkits. Los analistas forenses no tienen acceso a la BIOS comprometida y por supuesto no es posible automatizar ni remediar los ataques a BIOS.
La herramienta de verificación “off-host” contra la nube de seguridad de Dell nos hace únicos en el mercado permitiendo detectar malware en la BIOS verificando la integridad de la misma no solo de forma local sino también online. Además, permitimos la integración con software de terceros, la ejecución de la herramienta bajo demanda o programada y la captura de la imagen automática de una BIOS manipulada para su futuro análisis forense.
También existe la posibilidad de notificar a los usuarios finales de que se ha producido un ataque o corrupción a la BIOS, guardando un evento en el visor de eventos y guardando los resultados de la verificación en una clave de registro. Finalmente, esta alerta puede ser enviada a soluciones de monitorización de seguridad de terceros.
Captura de Imagen de BIOS
En caso de manipulación de BIOS o detección de un ataque Dell llevará a cabo y de forma automática una copia de la BIOS para ser analizada posteriormente mediante análisis forense por los ingenieros de Dell o por el propio departamento de seguridad interno.
Indicadores de Compromiso y Ataque
Un indicador de compromiso (IOC) a menudo se describe en el mundo forense como evidencia en un PC que indica que se ha violado la seguridad de la red. Un indicador de ataque (IOA) se centra en detectar la intención de lo que un atacante está tratando de lograr, independientemente del malware o exploit utilizado.
Dell automatiza la detección temprana de los indicadores de configuración de BIOS (IoA) y las configuraciones de alto riesgo al brindar visibilidad al historial de configuración del BIOS.
Esto permite que el departamento de IT / SOC de los clientes de Dell aborde las vulnerabilidades en las configuraciones de BIOS, correlacione los datos de eventos de BIOS con posibles amenazas y remedie los ataques.
La solución de Indicadores de Compromiso y Ataque exclusiva de Dell permite a nuestros clientes:
- La extracción continua y análisis de configuraciones de BIOS y cambios para detectar IoAs.
- Evita que los clientes sean vulnerables en la superficie de ataque debido a configuraciones incorrectas de BIOS.
- La generación de alertas a medida que aumenta el riesgo, notificando a TI / SOC para tomar medidas correctivas.
- Visibilidad de la configuración y los cambios del BIOS, que permite a los SOC crear alertas personalizadas que correlacionan los datos de eventos del BIOS y otras fuentes.
El no disponer de esta solución permitiría llevar a cabo configuraciones BIOS malintencionadas para llevar a cabo ataques de vector y los administradores de seguridad no recibirían ningún tipo de notificación sobre estas conductas maliciosas.
Esta herramienta única de Dell ha recibido numerosas menciones en diferentes notas de prensa de medios del sector como Zdnet, Hispasec entre otros.
Concluimos este artículo haciendo hincapié en que disponer de herramientas de seguridad hardware y software propias del fabricante ayudan a una gestión proactiva de la ciberseguridad de nuestros clientes, algo esencial para defenderse de los ataques cibernéticos.
