Le aziende sono preoccupate per esattamente i problemi con cui Windows 11 aiuta e le specifiche hardware significano futuri miglioramenti della sicurezza come più contenitori di app.
I requisiti hardware per Windows 11 hanno portato a un ampio dibattito su cosa cambia esattamente nei nuovi PC e processori; hanno anche portato le aziende a pensare alle funzionalità di sicurezza di cui hanno bisogno nell’hardware.
Il secondo rapporto sui segnali di sicurezza di Microsoft mostra che i responsabili delle decisioni sulla sicurezza aziendale sono preoccupati per l’impatto sulla sicurezza del lavoro ibrido e si aspettano che l’hardware del PC aiuti, ha affermato Dave Weston, direttore della sicurezza del sistema operativo di Microsoft.
“Da un lato, è piuttosto intuitivo perché stai perdendo i sistemi di rilevamento delle intrusioni e alcune delle analisi basate sulla rete e, naturalmente, la protezione fisica dell’essere nel campus”. Ma sottolinea anche che, sebbene Windows 10 abbia le stesse funzionalità per gli approcci alla sicurezza zero-trust incorporati in Windows 11 , non sono state ampiamente adottate perché le persone semplicemente non le attivano.
“Abbiamo una sicurezza basata sulla virtualizzazione, abbiamo molte cose che possono aiutare le persone che stanno cercando di proteggere l’ambiente di lavoro ibrido, ma non è attivo per impostazione predefinita, è difficile da configurare, ci sono problemi di prestazioni… Forse ingenuamente, abbiamo detto all’inizio di Windows 10 inseriremo tutte queste fantastiche cose e i clienti eseguiranno e attiveranno i criteri di gruppo per questi. Con Windows 11, stiamo iniziando in una posizione molto diversa; stiamo solo dando a noi stessi credito per il valore della sicurezza quando è attivo per impostazione predefinita”, ha detto Weston.
“Chiamiamo Windows 11 un sistema operativo ‘zero-trust-ready’ e questo significa che più di quelle cose che dovevi spingere te stesso come persona IT, forse facendo sicurezza e IT e indossando molti cappelli, sono solo su per impostazione predefinita.” (Anche se stai aggiornando i PC, dovrai comunque attivare queste funzionalità su te stesso .)
“Con Windows 11, accesso condizionato, System Guard, attestazione di runtime, sono davvero entusiasta dell’effetto che avere una maggiore prevenzione per impostazione predefinita [sui nuovi PC] avrà su questi clienti”, ha affermato.
“Non sono andato a creare un mucchio di nuove Guardie e altre cose nel sistema operativo; mi sono concentrato sugli aspetti di prestazioni, affidabilità e compatibilità dell’abilitazione di tali funzionalità per impostazione predefinita.”
Pronto per rinfrescare
Avere quelle funzionalità attive per impostazione predefinita senza nessuno di questi problemi si basa anche sui nuovi requisiti hardware per Windows 11, e questo è qualcosa che il sondaggio suggerisce che le aziende vogliono davvero.
Cosa dicono i professionisti della sicurezza a Microsoft su hardware e sicurezza.
L’86% pensa che l’hardware obsoleto lasci la propria modalità organizzativa aperta agli attacchi (e ha affermato che quasi un terzo dell’hardware è considerato obsoleto); L’80% afferma che la protezione del software da sola non è sufficiente e quasi il 90% afferma che l’hardware moderno li aiuterà a proteggerli dalle minacce future. È un bel cambiamento di atteggiamento, ci ha detto Weston.
“C’è stata una grande enfasi sull’acquisto di rilevamento e risposta degli endpoint, sull’acquisto di SIEM, sulla ricerca di [minacce] e così via. E quindi vedere i soccorritori tornare e dire ‘abbiamo bisogno di hardware’ è davvero interessante”.
Parlare in modo più approfondito con i clienti Microsoft ha portato Weston a credere che l’enorme volume di minacce sia alla base dell’interesse per l’hardware per la sicurezza. “Quello che sto sentendo è solo che data la voracità degli aggressori là fuori e il panorama delle minacce, il rilevamento funziona alla grande; ma forse poche aziende possono davvero assumere le persone che sarebbero necessarie per indagare e risolvere ognuno di questi problemi. Quindi cosa stiamo iniziando a vedere che è un modello che torna alla buona vecchia prevenzione; più possiamo ridurre l’imbuto, meglio possiamo agire e rimediare [quelle minacce].”
Sulla base della telemetria di Windows Insider che prova Windows 11, Weston ha affermato che molti PC sono pronti per eseguire queste protezioni di sicurezza basate su hardware e in molti casi non ti accorgerai che sono in esecuzione.
“[Abbiamo visto] una percentuale incredibilmente alta di requisiti hardware soddisfatta, anche se era facoltativo, il che penso sia indicativo date le dimensioni della nostra popolazione interna e la varietà [di dispositivi]. I requisiti hardware hanno ovviamente avuto un impatto su alcune persone, ma ci sono molte, molte, molte persone che possono continuare a funzionare sul programma Insider senza problemi. Una percentuale molto alta di utilizzo del TPM e alcuni degli altri hardware chiave. Ancora una volta, abbiamo tutti i tipi di test di regressione su prestazioni e affidabilità e i numeri sono stati quelli che ci aspettavamo. Nessuna regressione significativa, nessun problema importante, nessun problema di NPS [Net Promotor Score] È stato abbastanza trasparente e non è stato un problema, che per me è il gold standard: quando alzo l’asticella della sicurezza e la gente non sa nemmeno che è lì.”
Non tutte le aziende aderiscono al programma Windows Insider, quindi è possibile che gli ambienti commerciali non siano ben rappresentati in quei numeri e troveranno le impostazioni predefinite di sicurezza più dirompenti. C’è una nuova guida approfondita all’architettura di sicurezza di Windows 11 per aiutarli, ma anche i test delle applicazioni possono essere fondamentali per l’adozione commerciale, soprattutto quando il team di Windows inizia a costruire la sicurezza sulla base della nuova linea di base.
“Molte delle cose che voglio fare riguardo alle credenziali richiederanno alle persone che penso di fare un po’ più di test: se si sfruttano i vecchi driver per smartcard e li si sposta nella sicurezza basata sulla virtualizzazione e si isola, ci saranno più casi di test che necessitano accadere.”
Alcuni di questi test possono essere eseguiti sul servizio Test Base di Microsoft e Windows 365 ; questo trarrà presto vantaggio dalle nuove macchine virtuali di “lancio affidabile” su Azure che chiama ” VM essenzialmente protette ” con TPM virtuali e funzionalità di sicurezza basate sulla virtualizzazione come Credential Guard.
L’intero arco di sicurezza di Windows 11.
Contenere il problema
La sicurezza basata sull’hardware aiuterà oggi i difensori, ma i successi del programma Insider suggeriscono che mette anche Windows 11 in una buona posizione per aggiungere più funzionalità, a partire dal promesso supporto per le app Android , che si basa sulla virtualizzazione.
“La virtualizzazione può introdurre problemi in particolare sull’hardware più vecchio. Il piano [hardware] che abbiamo oggi penso che ci prepari davvero per avere un’esperienza eccellente lì. Non sono solo cose come il controllo dell’esecuzione basato sulla modalità; ci sono molti miglioramenti architetturali dall’ottavo Processori di generazione e superiori.”
Più avanti, la virtualizzazione sarà in grado di proteggere maggiormente le applicazioni eseguendole in singoli contenitori Krypton, una funzionalità annunciata da Microsoft per quello che sarebbe stato Windows 10X ma non è stata ancora integrata in Windows 11.
Gli utenti aziendali stanno già adottando funzionalità di sicurezza simili come Windows Defender Application Guard per Edge e Office, ha affermato Weston, in particolare con l’aumento degli exploit zero-day per i browser. “Stiamo vedendo molte persone gravitare su questo. Dal punto di vista commerciale, questo ci sta preparando per aumentare il supporto per una [più ampia] varietà di applicazioni”.
Queste funzionalità non sono rivolte agli utenti consumer, ma Weston ha affermato che Microsoft è rimasta sorpresa da quante persone hanno utilizzato la funzionalità Sandbox di Windows per isolare le applicazioni. “Originariamente il punto di vista era che questa è una grande tecnologia aziendale. È ovviamente ottimizzata per la sicurezza e quindi a volte ci sono dei compromessi nell’esperienza. La percezione era che i consumatori non sarebbero stati interessati a questo, e i dati raccontano una storia diversa. impegno su Sandbox, quindi questo ci stimola davvero a fare cose simili in futuro. E ovviamente con Windows 11 che ha una buona base hardware e buone prestazioni intorno alla virtualizzazione, rende ancora più allettante andare e innovare in quello spazio. ”
“Ha davvero catturato la nostra immaginazione sulle cose che possiamo fare in Windows 11 in futuro esponendo più di questi scenari ai consumatori”.
Dal punto di vista degli sviluppatori, Kevin Gallo, CVP della piattaforma per sviluppatori Windows, ci ha detto che ottenere i contenitori delle applicazioni corretti sarà fondamentale per ottenere l’adozione da parte degli sviluppatori . “C’è un equilibrio [da trovare]; se metti troppa sicurezza su un contenitore, interrompi la funzionalità, se non ne hai uno, le app non sono contenute, quindi un’app può influenzare l’altra, quindi se un’app riceve malware, poi all’improvviso ogni app può ottenerlo. Quindi, siamo fermamente convinti che la containerizzazione sia una buona cosa.”
Il contenitore dell’app UWP non fa ancora parte dell’SDK delle app di Windows perché Gallo osserva ironicamente che “c’erano parti che erano amate e c’erano parti che non erano amate”. Prevede che il futuro modello di contenitore di app avrà una certa flessibilità nel compromesso tra funzionalità e sicurezza, probabilmente con diverse impostazioni di sicurezza diverse, ma quelle non sono ancora state decise. Aspettati di vedere le versioni di anteprima per l’IT e gli sviluppatori su cui fornire feedback in modo che la containerizzazione sia facile, ma non intralci. “Quello che abbiamo imparato è che se non funziona per gli sviluppatori, semplicemente non lo adotteranno”.
Collegare Pluton
I requisiti di Windows 11 includono un TPM; nell’hardware futuro, che includerà l’ hardware di sicurezza Pluton di Microsoft . Weston non confermerebbe quando i PC con Pluton verranno lanciati oltre a dire “molto presto” e “nei tempi di spedizione di Windows 11”.
L’avvio protetto di Windows 11 mitiga completamente gli attacchi attuali come il bootkit UEFI che Kapseprsky ha recentemente trovato nello spyware FinFisher. “L’avvio anticipato è una progressione naturale per gli aggressori che cercano di eludere una maggiore visibilità e una maggiore prevalenza degli agenti endpoint; lo abbiamo visto in attacchi come SolarWinds. Windows 11 è in una posizione davvero forte per aiutare in questo.”
Ma Pluton sarà importante per mitigare gli attacchi futuri. “Il modo migliore per uscire da una situazione di crisi è andare d’accordo prima che accada”, ha spiegato.
“La nostra prospettiva è sempre stata che dobbiamo ottenere un avvio anticipato e che le fondamenta siano solide, altrimenti accadono cose davvero brutte come i bootkit disattivano Windows Defender, gli aggressori entrano e diventano invisibili. Parte del nostro lavoro è integrare quel sistema [quindi noi] ci assicuriamo che gli agenti [della sicurezza] abbiano solide basi e che non possano essere manomessi”.
Un altro effetto collaterale delle specifiche hardware di Windows 11 è stato quello di mostrare che anche i PC con TPM integrati non li hanno sempre utilizzati per proteggere il sistema. E non aver attivato i TPM significa che potrebbero non essere stati ampiamente testati in battaglia come previsto dalla comunità della sicurezza. “Poiché costringiamo più persone ad attivare un TPM, penso che il TPM diventerà un percorso più critico in termini di fondamenti: può essere aggiornato, è disponibile, è affidabile? Stiamo vedendo in telemetria che come TPMS abituarsi, più delle loro funzionalità espongono alcune delle limitazioni ed è qui che entra in gioco Pluton.
“Pluton fa molte cose; è un coltellino svizzero davvero eccezionale per la sicurezza, ma la sua funzione principale è rendere i TPM super disponibili e super affidabili”. E ciò significa che le future funzionalità di sicurezza saranno costruite su una base sicura fino all’hardware.