El documento describe las amenazas de seguridad en entornos Windows y cómo protegerse. Explica que los ataques son cada vez más sofisticados y que nadie está a salvo. Propone un nuevo enfoque centrado en 4 principios: asegurar los dispositivos mediante hardware seguro, asegurar las identidades con autenticación de dos factores y credenciales a prueba de robo, proteger la información cifrando los datos dondequiera que estén, y dotar de resistencia al sistema frente a amenazas. Windows 10 implementa estos principios para proteger

1. Amenazas en entornos Windows
(Y como protegernos)
Juan Ignacio Oller Aznar
MVP: Cloud and DataCenter Management

2. Amenazas en entornos Windows (Y como protegernos)
Índice:
▪ Seguridad en Windows 10.
▪Evolución de los ataques.
▪Un nuevo enfoque.
2

3. Seguridad en Windows 10
Evolución de los ataques

4. 4
Evolución de los ataquesSofisticación
2003 – 2004 2005 – presente 2012 – mas allá

5. 5
Nadie está a salvo
Algunos ejemplos:
• Brecha de seguridad en la Casa
Blanca.
• Ataque a Sony y liberación de sus
contenidos y datos.
• Ataque de ISIS a TV5Monde en
Francia.
• Y muchos más

6. Seguridad en Windows 10
Un nuevo enfoque

7. 7
Tenemos que adoptar un nuevo enfoque
Seguridad desde dentro hacia afuera – Más alla de muros más altos
Arruinar los modelos
económicos de los
atacantes
Romper sus libros de
jugadas
Eliminar sus vectores de
ataque

8. 8
Proteccióndedatos
Proteccióndeidentidad
Resistenciaaamenazas
Seguridaddedispositivos

9. Seguridad en Windows 10
Los cuatro principios
de la Protección

10. 10
Windows 10 está diseñado para
protegernos de las amenazas de
seguridad modernas.
Microsoft ha organizado su desarrollo
en base a los siguientes pilares:
▪ Seguridad de dispositivo o
hardware.
▪ Seguridad de identidades.
▪ La protección de la información.
▪ La resistencia a la amenaza.
4 principios para la protección
ASEGURAR LOS
DISPOSITIVOS
ASEGURAR LAS
IDENTIDADES
PROTECCION DE
INFORMACION
RESISTENCIA
A LA
AMENAZA

11. 11
Hardware seguro
¿Como puede ayudarnos el
hardware?
Tenemos 4 ayudas mediante
hardware:
1. Integridad de dispositivos
2. Procesamiento criptográfico
3. Virtualización
4. Sensores biométricos

12. 12
Vectores de ataque y sus soluciones
Virtualización
Integridad de
dispositivos
Sensores
biométricos
Procesadores
Criptográficos

13. 13
Vectores de ataque y sus soluciones
Integridad de
dispositivos
Ataque:
El malware interfiere el hardware y corrompe el
sistema operativo antes de que arranque.
Solución:
UEFI Boot segura evita que el dispositivo sea
manipulado y asegura la integridad del sistema
operativo que se inicia.

14. 14
Vectores de ataque y sus soluciones
Procesadores
Criptográficos
Ataque:
El malware compromete las defensas
relacionados con la integridad y obtiene acceso
no autorizado a información sensible
Solución:
El procesador de TPM proporciona validación de
la integridad a prueba de manipulación. Evita el
acceso no autorizado a información sensible.

15. 15
Vectores de ataque y sus soluciones
Virtualización
Ataque:
El malware gana nivel de privilegio que le permite la
administración. Con esto obtiene acceso a todo el sistema y
desactiva las defensas del sistema para evadir la detección.
Solución:
La virtualización basada en procesador aísla los componentes y
los datos críticos del sistema. Tenemos protección aunque esté
comprometido el sistema completo.

16. 16
Vectores de ataque y sus soluciones
Sensores
biométricos
Ataque:
El atacante obtiene acceso a la contraseña o PIN de los
usuarios y al dispositivo 2FA.
Solución:
El uso de un sistema biométrico para la autenticación
aumenta el nivel de dificultad.

17. 17
Asegurar las identidades
¿Seguridad de identidades?
Varios puntos:
1. Autenticación de dos factores.
2. Credenciales a prueba de robo.
3. Siempre seguros, incluso en el
caos.
4. Solución segura y amigable.
5. Mismas credenciales sobre toda la
plataforma.

18. 18
Secretos compartidos… ¡A VOCES!

19. 19
Usuario/Contraseña en Internet

20. 20
Usuario/Contraseña en Internet

21. 21
Usuario/Contraseña en Internet

22. 22
Usuario/Contraseña en la empresa

23. 23
Usuario/Contraseña en la empresa

24. 24
Soluciones PKI
¿Son realmente efectivas?
Varios puntos en su contra:
1. Complejas.
2. Costosas.
3. Muy atacadas.

25. 25
Validación basada en PKI

26. 26
Validación basada en PKI

27. 27
Uso típico del MFA

28. 28
Demandas de la empresa
¿Que quieren las empresas?
1. Reducción de la complejidad.
2. Reducción de costes.

29. 29
▪ Debemos simplificar la implementación de estas soluciones.
MFA con los dispositivos existentes
ALGO QUE SE ALGO QUE TENGO ALGO QUE SOY

30. 30
MFA con los dispositivos existentes

31. 31
¿Y ahora que? Pues… Una nueva generación

32. 32
Las credenciales para el acceso

33. 33
▪Un mundo más allá de las contraseñas con
autenticación de dos factores.
▪Un PIN o un sistema biometrico más tu
dispositivo.
▪Identidades a prueba de robo o phishing.
▪Single sign-on on-prem y en la web.
▪Uso de Azure Active Directory.
Identidad para la empresa

34. Demo
Windows Hello

35. 35
¿Qué es el pash the hash?
¿Cómo funciona?
▪ Una máquina se ve comprometida, el IT Pro gestiona dispositivos
compartidos en la red. El atacante roba el token de acceso.
▪ El atacante busca el acceso a contadores en busca de tokens compartidos.
▪ Va repitiéndolo y cruzando la red.
Ataques Pash The Hash

36. 36
▪ Han pasado de ser algo teórico a ser algo muy real.
▪ Permiten al atacante hacerse con los tokens de acceso del usuario.
▪ Una vez obtenidos, el atacante puede conseguir más tokens.
▪ Permite al atacante seguir dentro incluso cuando ha sido detectado.
Ataques Pash the hash

37. 37
▪ VSM usa ejecución segura de Hyper-V para proteger los tokens NTLM.
▪ Desacopla el hash NTLM del inicio de sesión.
▪ Genera randomización y gestiona la longitud NTLM hash para prevenir
ataques de fuerza bruta.
▪ Requiere un controlador de dominio y que el cliente sea Windows 10.
Ataques Pash the hash

38. 38
La fuga de datos es una realidad

39. 39
Protección de los datos
Protección del
dispositivo
Proteción del
sistema y de
los datos
cuando el
equipo es
robado o se
pierde.

40. 40
▪ Los riesgos de los datos no protegidos van más allá de la
exposición de los datos.
▪ Las credenciales pueden ser reseteados con herramientas
offline con lo que podrían tomar control de todo.
▪ Los sobremesa y móviles fuera de servicio pueden causar
peligros.
Protección de los datos

41. 41
Podemos encontrar herramientas de protección de datos que:
▪ Comprometen la UX. Por el contrario son más fáciles de
desplegar y tienen bajo costo.
▪ Mejor UX pero peor despliegue y administración.
Protección de datos

42. 42
Protege los datos en reposo, y donde quiera que se encuentren.
Perfecta integración en la plataforma.
Datos corporativos vs personales identificables.
Previenen acceso a los datos por parte de APP no autorizadas.
Experiencia común.
Protección de datos en la empresa

43. Demo
Bitlocker

44. 44
Protege todos los tipos de archivos allá donde estén.
Soporte para todos los dispositivos y sistemas comúnmente usados.
Pueden ser aplicados autimáticamente a entornos como mail, OneDrive, …
Soporte para B2B y B2B vía Azure AD.
Soporte para cloud y on-premise.
Rights Management Services