Comienza un nuevo año y las amenazas de ciberseguridad siguen evolucionando. Los ciberdelincuentes no se detienen y los responsables de Tecnología de la Información (TI) tienen que ir a su mismo ritmo. Leslie Culbertson es una de las que cree que la naturaleza de esos peligros continuará evolucionando y que se debe evolucionar activamente con éstos.
Para la vicepresidenta ejecutiva y gerente general de Garantía y Seguridad de Productos en Intel, cualquiera que esté familiarizado con el panorama de la ciberseguridad debe permanecer atento porque su trabajo nunca termina. Es por eso que la empresa dio muchos pasos para seguir el ritmo de ese progreso durante el 2018.
Esto se ha convertido en nuevas herramientas y procesos, nuevos talentos incorporados y, según ella, en el trabajo continuo que han realizado para continuar mejorando la seguridad, incluyendo la protección contra nuevas clases de vulnerabilidades de seguridad como Specter y Meltdown.
Fue así como establecieron el grupo de Garantía y Seguridad de Productos Intel (IPAS por sus siglas en inglés), formado en el mismo plazo de la divulgación pública de Specter y Meltdown, con un cometido más amplio.
“Diseñado para servir como el ‘control de la misión’ de seguridad de Intel, IPAS es un esfuerzo integral de garantía y seguridad de productos que abarca a todos los de Intel, desarrolla políticas y mejores prácticas e impulsa decisiones críticas en todos nuestros negocios”.
Como resultado de la formación de IPAS y de sus esfuerzos durante todo el año, Culbertson ha explicado que lograron avances significativos que han mejorado su agilidad, desde el comienzo del diseño del producto, hasta la fabricación del producto y el soporte postventa.
Completar las actualizaciones de microcódigo fue otro de los retos de Intel, pues la nueva clase de vulnerabilidades de seguridad que incluye Specter y Meltdown ha resultado un desafío para toda la industria.
“Cuando las vulnerabilidades requieren actualizaciones de microcódigo, el código que controla los transistores en el chip, Intel emite una actualización de microcódigo (MCU). Trabajando juntos con un enfoque centrado en el cliente, nosotros y nuestros socios pudimos proporcionar a nuestros clientes actualizaciones de microcódigo para más de nueve años de productos Intel”.
La ingeniería de la nueva protección en el hardware también ha sido uno de los compromisos que asumieron en la compañía para avanzar en la seguridad a nivel de silicio y así ayudar a proteger contra las vulnerabilidades del canal lateral.
En el lado del cliente, de acuerdo a la ejecutiva, comenzaron a presentar su procesador Intel Core U-series (Whiskey Lake) de octava generación (en agosto), seguido del procesador de escritorio Intel Core de novena generación (Coffee Lake), ya en octubre.
Su procesador Intel Xeon escalable de próxima generación (Cascade Lake) se ha convertido en el primer procesador x86 lanzado al mercado que cuenta con protecciones basadas en hardware para Specter V2, de acuerdo a la publicación de Culbertson.
Automatización e investigación de Intel
La automatización del proceso de actualización de microcódigo fue otro de los retos de ciberseguridad para Intel, ya que reconocieron que un proceso de actualización más predecible y consolidado para la seguridad y los problemas funcionales sería útil para todo el ecosistema.
“Así que estamos haciendo la transición a un modelo de lanzamiento trimestral alineado con otros en el ecosistema siempre que sea posible. Uno de los desafíos que enfrentan los proveedores de silicio es el proceso de distribución de MCU. Este puede ser un proceso complejo para los socios OEM (fabricantes de equipos originales) y de software, así como para los consumidores”.
Es por eso que una de las primeras iniciativas importantes para IPAS fue mejorar la entrega de MCU. En junio de 2018 hicieron posible que sus MCUs se pudieran cargar en el sistema operativo, permitiendo la actualización para Specter V2 a través de Windows Update. En el futuro tienen la intención de habilitar la entrega de MCU mediante este proceso cuando sea posible.
En relación al incremento de la investigación interna y externa, Leslie Culbertson ha señalado que Intel siempre ha atraído a los mejores talentos de la industria y que continúa desarrollando un equipo de clase mundial de investigadores e ingenieros de seguridad integrados en toda la compañía.
“Hemos aumentado activamente nuestros ejercicios del equipo rojo: conectamos la investigación de seguridad ofensiva profunda con el conocimiento profundo del producto para encontrar y abordar las posibles vulnerabilidades antes de que se envíen los productos”.
Y es que los investigadores e ingenieros de seguridad comparten sus ideas con la comunidad más amplia al publicar los hallazgos y presentarlos a los compañeros en los eventos de la industria.
También continúan aprendiendo de la comunidad más amplia a través de su programa de recompensas de errores y la participación de la academia mediante investigaciones patrocinadas y su programa de “Investigador residente”.
Compromiso con la ciberseguridad
A medida que las tecnologías se vuelven cada vez más complejas, en Intel creen necesario que el ecosistema trabaje en conjunto para mantener los productos y los datos más seguros de manera colectiva.
Eso los ha llevado a la construcción de un modelo de colaboración y desarrollo entre sus socios que les permite comunicarse directamente. Se ha explicado que este enfoque va más allá de la colaboración multipartidista tradicional y que es uno de los que esperan construir para un entorno de aprendizaje continuo.
Leslie Culbertson ha indicado que la seguridad continuará siendo un área donde se requiere vigilancia y, por ello, en Intel continuarán impulsando la innovación en ciberseguridad a través de su cartera de productos.