Seguridad del computer software y el ataque SolarWinds de Rusia


Seguridad del software program y el ataque SolarWinds de Rusia

La información que está surgiendo sobre Rusia operación extensa de ciberinteligencia en contra de Estados Unidos y otros paises debería ser cada vez más alarmante para el público. La magnitud de la piratería, que ahora se cree que ha afectado a más de 250 agencias y empresas federales – principalmente a través de una actualización maliciosa del software package de administración de pink SolarWinds – puede haber pasado desapercibida para la mayoría de la gente durante la temporada navideña, pero sus implicaciones son asombrosas.

De acuerdo a una Informe del Washington Post, este es un golpe de inteligencia masivo por parte del servicio de inteligencia exterior de Rusia (SVR). Y una falla masiva de seguridad por parte de Estados Unidos también tiene la culpa. Nuestra insegura infraestructura de Net se ha convertido en un riesgo crítico para la seguridad nacional, uno que debemos tomar en serio y gastar dinero para reducirlo.

Respuesta inicial del presidente electo Joe Biden habló de represalias, pero realmente no hay mucho que Estados Unidos pueda hacer más allá de lo que ya hace. El ciberespionaje es lo de siempre entre países y gobiernos, y Estados Unidos es agresivamente ofensivo en este sentido. Nos beneficiamos de la falta de normas en esta área y es poco possible que retrocedamos demasiado porque no queremos limitar nuestras propias acciones ofensivas.

Biden tomó un tono más realista la semana pasada cuando habló de la necesidad de mejorar las defensas estadounidenses. El enfoque inicial probablemente estará en cómo limpiar a los piratas informáticos de nuestras redes, por qué la Agencia de Seguridad Nacional y el Comando Cibernético de EE. UU. no pudo detectar esta intrusión y si la Agencia de Seguridad de Infraestructura y Ciberseguridad de 2 años tiene el recursos necesarios para defender a los Estados Unidos de ataques de este calibre. Estas son discusiones importantes, pero también debemos abordar los incentivos económicos que llevaron a la violación de SolarWinds y cómo ese program inseguro terminó en tantas redes críticas del gobierno de EE. UU.

El software se ha vuelto increíblemente complicado. La mayoría de nosotros casi no conoce todo el computer software que se ejecuta en nuestras computadoras portátiles y lo que está haciendo. No sabemos a dónde se conecta en World-wide-web, ni siquiera a qué países se conecta, ni qué datos envía. Por lo basic, no sabemos qué bibliotecas de terceros hay en el computer software que instalamos. No sabemos qué software está ejecutando alguno de nuestros servicios en la nube. Y rara vez estamos solos en nuestra ignorancia. Descubrir todo esto es increíblemente difícil.

Esto es aún más cierto para el software package que ejecuta nuestras grandes redes gubernamentales, o incluso el Red troncal de Internet. El computer software gubernamental proviene de grandes empresas, pequeños proveedores, proyectos de código abierto y todo lo demás. Los paquetes de software program poco conocidos pueden tener vulnerabilidades ocultas que afectan la seguridad de estas redes y, a veces, de toda Internet. SVR de Rusia aprovechó una de esas vulnerabilidades cuando obtuvo acceso al servidor de actualización de SolarWinds, engañando a miles de clientes para que descargar una actualización de software malicioso que dio a los rusos acceso a esas redes.

El problema elementary es el de los incentivos económicos. El mercado premia el desarrollo rápido de productos. Recompensa las nuevas funciones. Recompensa el espionaje de clientes y usuarios: recopilar y vender datos individuales. El mercado no premia la seguridad ni la transparencia. No recompensa la confiabilidad más allá del mínimo indispensable y no recompensa la resiliencia en absoluto.

Esto es lo que sucedió en SolarWinds. UN New York Instances reporte señaló que la empresa ignoró las prácticas básicas de seguridad. Trasladó el desarrollo de software a Europa del Este, donde Rusia tiene más influencia y podría potencialmente subvertir a los programadores, porque es más barato.

Aparentemente, las ganancias a corto plazo se priorizaron sobre la seguridad del producto.

Las empresas tienen derecho a tomar decisiones como esta. La verdadera pregunta es por qué el gobierno de Estados Unidos compró un computer software de mala calidad para sus redes críticas. Este es un problema que Biden puede solucionar, y debe hacerlo de inmediato.

Estados Unidos necesita mejorar la adquisición de computer software del gobierno. El software ahora es fundamental para la seguridad nacional. Cualquier sistema para adquirir application debe evaluar la seguridad del application y las prácticas de seguridad de la empresa, en detalle, para garantizar que sean suficientes para satisfacer las necesidades de seguridad de la pink en la que se están instalando. Los contratos de adquisición deben incluir seguridad controles del proceso de desarrollo de application. Necesitan certificaciones de seguridad por parte de los proveedores, con sanciones sustanciales por tergiversación o incumplimiento. El gobierno necesita mejores prácticas detalladas para el gobierno y otras empresas.

Algunas de las bases para un enfoque como este ya han sido sentadas por el gobierno federal, que ha patrocinado el desarrollo de un “Lista de materiales del software”Que establecería un proceso para que los fabricantes de program identifiquen los componentes utilizados para ensamblar su program.

Este escrutinio no puede terminar con la compra. Estos requisitos de seguridad deben supervisarse durante todo el ciclo de vida del program, junto con el application que se utiliza en las redes gubernamentales.

Nada de esto es barato y deberíamos estar dispuestos a pagar mucho más por program seguro. Pero hay un beneficio en estas prácticas. Si las evaluaciones gubernamentales son públicas, junto con la lista de empresas que las cumplen, todos los compradores de la pink pueden beneficiarse de ellas. El gobierno de EE. UU. Actuando exclusivamente en el ámbito de las adquisiciones puede mejorar la seguridad de las redes no gubernamentales en todo el mundo.

Esto es importante, pero no suficiente. Necesitamos establecer estándares mínimos de seguridad y protección para todo el software: desde el código en ese dispositivo de Online de las cosas que acaba de comprar hasta el código que ejecuta nuestra infraestructura nacional crítica. Todo es una purple y una vulnerabilidad en el application de su refrigerador puede ser usado para atacar la purple eléctrica nacional.

los Ley de mejora de la ciberseguridad de IOT, promulgada el mes pasado, es un comienzo en esta dirección.

La administración de Biden debe priorizar los estándares mínimos de seguridad para todo el software program vendido en los Estados Unidos, no solo al gobierno sino a todos. Atrás quedaron los días en los que podíamos dejar que la industria del software decida cuánto énfasis poner en la seguridad. La seguridad del software ahora es una cuestión de seguridad private: si se trata de garantizar que su automóvil no pirateado a través de World-wide-web o que la red eléctrica nacional no es pirateado por los rusos.

Esta regulación es la única forma de obligar a las empresas a proporcionar funciones de seguridad y protección para los clientes, tal como la legislación period necesaria para medidas de seguridad alimentaria y exigir a los fabricantes de automóviles que instalen funciones que salvan vidas, como cinturones de seguridad y airbags. Las regulaciones inteligentes que incentivan la innovación crean un mercado para las características de seguridad. Y mejoran la seguridad para todos.

Es cierto que crear computer software en este tipo de entorno regulatorio es más caro. Pero si realmente valoramos nuestra seguridad personal y nacional, debemos estar preparados para pagarla.

La verdad es que ya lo estamos pagando. Hoy en día, las empresas de computer software aumentan sus beneficios al trasladar secretamente el riesgo a sus clientes. Pagamos el costo de las computadoras personales inseguras, al igual que el gobierno ahora paga el costo de la limpieza después del hack de SolarWinds. Arreglar esto requiere transparencia y regulación. Y aunque la industria se resistirá a ambos, son esenciales para la seguridad nacional en nuestros mundos cada vez más dependientes de las computadoras.

Este ensayo aparecido previamente en CNN.com.

Publicado el 8 de enero de 2021 a las 6:27 a.m. •
comentarios



Enlace a la noticia original