Apple prioriza la seguridad del 'endpoint' y la certificación de dispositivos gestionados
Las nuevas tecnologías que Apple destacó en la WWDC de este mes muestran que la compañía comprende cómo está cambiando el panorama de la seguridad empresarial y subrayan el compromiso de proporcionar las herramientas necesarias para lidiar con ese panorama.
Durante la conferencia de desarrolladores de Apple (WWDC 2022), que tuvo lugar la semana pasada, se destacó el compromiso con dos aspectos clave de la ciberseguridad: la certificación de dispositivos gestionados y la protección del endpoint. SI bien ambos aspectos están más orientados a los desarrolladores de arquitecturas y a los administradores de TI, algunas de las capacidades que se han añadido son dignas de estudio.
Atestación de dispositivos administrados
Esta nueva capacidad ayuda a garantizar que los servidores y servicios (en onpremise o la nube) solo responden a solicitudes legítima de acceso a los recursos corporativos. El uso de servicios cloud y la implementación de dispositivos móviles han crecido a la par en la última década, lo que ha cambiado significativamente el paradigma de seguridad empresarial. Antes de esto, tener una seguridad sólida en el perímetro de red junto con VPN y herramientas de acceso remoto era la forma principal de protección.
Sin embargo, hoy el escenario es mucho más complejo. Muchos recursos viven completamente fuera de la red corporativa, y eso significa que la evaluación de la confianza debe realizarse en una amplia gama de servicios locales, remotos y en la nube. Por lo general, esto abarca a varios proveedores y cada uno debe poder establecer que los usuarios y los dispositivos que se conectan entre ellos son legítimos; lo que va más allá del simple paso de contraseña y autorización.
Los servicios ya se basan en la identidad del usuario, del dispositivo, la ubicación, la conectividad, la fecha y hora y el estado de administración del dispositivo para determinar si las solicitudes de acceso son válidas. Las herramientas pueden usar cualquiera o todos estos criterios a la vez, y la mayoría, incluidas las soluciones MDM, lo hacen.
Dependiendo de la confidencialidad de los datos, la simple autenticación del usuario puede ser suficiente para una postura de seguridad heredada, pero, para ser prudente, hay que confiar en todos estos criterios antes de otorgar accesos, particularmente para sistemas confidenciales o administrativos.
Uno de los criterios más poderosos es la identidad del dispositivo. Garantiza que cualquiera que acceda a los sistemas y recursos de la organización (incluidos los MDM) sea conocido y confiable. Actualmente, la identidad del dispositivo de Apple incluye la siguiente información: la identificación única del dispositivo en el protocolo MDM de Apple, la información devuelta por la consulta de información del dispositivo MDM y los certificados de seguridad que se han emitido al dispositivo.
En sus sistemas operativos más actuales, Apple está incorporando capacidades adicionales para establecer la identidad del dispositivo, es decir, su certificación. Básicamente, es una forma de establecer la autenticidad del dispositivo utilizando información conocida sobre él que Apple puede verificar utilizando los servidores de atestación de la compañía. La información que Apple usa para esto incluye detalles sobre registros de fabricación y catálogo del sistema operativo.
La atestación analiza el dispositivo en sí, no el sistema operativo o las aplicaciones instaladas en él. Esto es importante porque significa que un dispositivo podría verse comprometido, pero aun así, la tecnológica daría fe de que es el dispositivo que debe ser. Sin embargo, los servicios de MDM pueden verificar la integridad del sistema operativo.
La atestación se puede utilizar de dos maneras, la primera es verificar la identidad de un dispositivo para que un servicio MDM sepa que el dispositivo es lo que dice ser. La segunda es para el acceso seguro a los recursos dentro de su entorno. La implementación de este último uso de atestación requiere un servidor o servicio ACME (entono de administración automática de certificados) en la organización. Esto ofrece la prueba más sólida de la identidad del dispositivo y configura los certificados de los clientes de forma similar a como lo hace SCEP (protocolo simple de inscripción de certificados).
Cuando el servidor ACME recibe una atestación, emitirá un certificado que permite el acceso a los recursos. La prueba de los certificados de atestación garantiza que el dispositivo es hardware de Apple e incluye su identidad, sus propiedades y las claves de identidad vinculadas al hardware.
Apple señala que hay varias razones por las que la certificación puede fallar, y que algunos errores, como problemas de red o con los servidores de certificación de la empresa, no indican un problema malicioso. Sin embargo, tres tipos de fallos indican un problema corporativo que debe remediarse o investigarse. Estos incluyen el hardware de dispositivo modificado, software no reconocido o alterado o situaciones en las que el dispositivo no es original de Apple.
Endpoint seguro
En este ámbito, se ha introducido una nueva funcionalidad para la API Secure Endpoint que está destinada a los desarrolladores para implementar nuevos eventos como los de autenticación, que incluyen la contraseña, Touch ID, emisión de tokens criptográficos y el desbloqueo automático con un Apple Watch.
Por otra parte, los desarrolladores ahora podrán usar la API para examinar el inicio/cierre de sesión de varios tipos, incluso desde la ventana de inicio de sesión, a través de pantalla compartida, conexión SSH e inicio de sesión de línea de comando. Nuevamente, el valor aquí es la capacidad de buscar y marcar actividades o intentos de inicio de sesión sospechosos.
Y, por último XProtect permitirá a los desarrolladores acceder a la información cuando se detecte software malicioso, así como cuando se haya solucionado, ya sea automáticamente o a través del personal de TI.
