Cómo ayudan a proteger los datos confidenciales los procesadores seguros

Las empresas se ven sometidas a un constante acoso por parte de los ciberdelincuentes. Según la Asociación de la Industria de Internet eco, una quinta parte de las empresas alemanas fue objeto de al menos un incidente grave de seguridad durante el año pasado. La Oficina Federal de Seguridad de la Información (BSI) ha calificado la situación de la seguridad informática de «tensa».

No es de extrañar: los ciberdelincuentes utilizan siempre nuevos patrones de ataque y programas de malware complejos y sofisticados para atacar las infraestructuras de TI y acceder a los datos confidenciales de la empresa. Pero esto no afecta solo al software y los sistemas operativos. Los piratas informáticos también tienen cada vez más como objetivo el hardware y el firmware. Explotan vulnerabilidades para manipular el firmware o leer los datos que está procesando el ordenador en la memoria del sistema. Estos incluyen contraseñas, cadenas de caracteres utilizadas para el cifrado u otros códigos de acceso. Con ellos, los piratas informáticos no tienen más que iniciar sesión en el equipo y acceder a los datos almacenados en él. De este modo, el cifrado del disco duro u otros mecanismos de protección basados ??en software quedan inutilizados.

Más seguridad gracias a las medidas de protección basadas en hardware y software

Debido a lo anterior, las medidas de protección existentes basadas en software se complementan cada vez más con funciones de seguridad basadas en hardware. Lo ideal es contar con una combinación de ambos niveles de protección, que se complementan y protegen el equipo de ataques complejos y dinámicos. El objetivo: proteger los datos almacenados en los equipos de las empresas y los usuarios.

AMD ha desarrollado su arquitectura «Zen» para mecanismos de seguridad especiales: estos deben proteger los datos del usuario y, al mismo tiempo, garantizar un alto rendimiento. Esta es la arquitectura en la que se basan los procesadores Ryzen y EPYC de este fabricante, utilizados, entre otros equipos, en PC, estaciones de trabajo y servidores.

Cada procesador AMD tiene una tecnología de seguridad integrada: además de la arquitectura real, también cuenta con un chip de seguridad por hardware dedicado. Este AMD Secure Processor (ASP) presenta varias ventajas:

• La seguridad basada en hardware puede aislar los procesos y datos críticos con el objetivo de proteger mejor la plataforma al completo, incluso de ataques contra el firmware.
• Este procesador con funciones de seguridad puede autenticar el firmware que se carga en el arranque. De este modo se evita la ejecución de un firmware manipulado o incorrecto o se deniega el acceso.
• Solo después de autenticar el firmware y la BIOS, el procesador transfiere el control de la BIOS al sistema operativo. Cada una de las capas de la infraestructura de seguridad complementa a la siguiente, lo que aumenta el nivel de protección.

AMD desarrolla sus características a nivel de procesador y firmware junto con los fabricantes de hardware y sistemas operativos. Así pueden interconectarse las medidas de protección correspondientes a cada uno de los diferentes niveles. Esto permite el uso de funciones de seguridad a nivel empresarial o PC de núcleo seguro, es decir, un dispositivo Windows 10 con la más alta protección de hardware, software e identidad.

La función AMD Shadow Stack también está integrada en la arquitectura de los potentes procesadores PRO de la serie Ryzen 5000. Se trata de una protección por hardware contra los conocidos como ataques de flujo de control, es decir, ciertos ataques mediante malware directamente dirigidos a la CPU.

El riesgo de ataques de arranque en frío para los datos del sistema

Sin embargo, los datos almacenados no solo se ven amenazados a través de Internet. Solo en los EE. UU., se roba un portátil cada 53 segundos. También es posible que los empleados pierdan sus dispositivos o que entren intrusos en las instalaciones de la empresa. El problema es que los ordenadores no siempre se apagan por completo, sino que se dejan en modo reposo. De este modo, están listos para volver a utilizarse en tan solo unos segundos, incluyendo todos los programas y documentos que estuvieran abiertos.

Aunque esto resulta bastante cómodo y practico, supone un riesgo para la seguridad. Cuando un usuario inicia sesión, se almacena sin cifrar una gran cantidad de información importante del sistema en la DRAM. Un atacante físico puede bloquear esta memoria, reiniciar el sistema, saltarse las funciones de borrado y leer el contenido de la DRAM.

Es imposible evitar un ataque de arranque en frío de este tipo mediante mecanismos de seguridad como el cifrado del disco duro. Una forma de protegerse es apagar por completo el ordenador. Sin embargo, esto resulta una molestia para los empleados y afecta negativamente a la productividad debido al tiempo que tarda el equipo en arrancar. Pero hay otra forma de impedir este tipo de ataques y proteger los datos.

La memoria del sistema cifrada evita el acceso

Todos los procesadores AMD Ryzen™ PRO ofrecen una capa adicional de protección para el ordenador. El coprocesador de seguridad ASP integrado sirve de base a la función AMD Memory Guard. Se trata de una capa de cifrado adicional que codifica la memoria del sistema. Esto ocurre directamente en los controladores de memoria del chip y con la ayuda de una clave aleatoria. De esta manera, los atacantes no pueden leer la memoria del sistema y acceder a las contraseñas u otros datos de acceso.

Con AMD Memory Guard, es posible defenderse de los ataques físicos de arranque en frío, el acceso a los datos de la interfaz de la DRAM y otros ataques similares. Al mismo tiempo, los usuarios pueden utilizar los ordenadores con total comodidad, porque no es necesario apagarlos. AMD Memory Guard es transparente para el sistema operativo y las aplicaciones y, por lo tanto, puede instalarse y utilizarse en cualquier equipo.