Computer software, respuesta a incidentes entre grandes áreas de enfoque …



Los objetivos generales son buenos, pero EO puede ser demasiado prescriptivo en algunas partes, dicen los expertos de la industria.

El presidente de los Estados Unidos, Joe Biden, emitió una orden ejecutiva (EO) que busca fortalecer la ciberseguridad federal en medio de las crecientes preocupaciones sobre las amenazas a la seguridad nacional de ataques como el de Colonial Pipeline la semana pasada, que provocó una escasez masiva de gasoline en el sureste en los últimos días.

La EO detalla una serie de medidas para las agencias federales destinadas, entre otras cosas, a reforzar el intercambio de información sobre amenazas entre el gobierno y el sector privado, garantizar una mejor seguridad del software package y estandarizar las capacidades federales de respuesta a incidentes. La orden solo se aplica a agencias federales y contratistas federales, pero al igual que muchas acciones federales, también podría terminar teniendo un efecto dominó más amplio en la industria privada.

Biden señaló «campañas cibernéticas maliciosas persistentes y cada vez más sofisticadas» como el impulsor inmediato de la acción ejecutiva. Tales campañas representan un riesgo tanto para el sector público como para el privado y, en última instancia, amenazan la seguridad y la privacidad de los estadounidenses, dijo al emitir el directiva presidencial.

«Las mejoras incrementales no nos darán la seguridad que necesitamos», dijo Biden. «En cambio, el gobierno federal necesita hacer cambios audaces e inversiones significativas para defender las instituciones vitales que sustentan el estilo de vida estadounidense».

Los aspectos más notables sobre la EO, según los expertos de la industria, son sus requisitos para los estándares de seguridad básicos para el software program vendido al gobierno federal, la eliminación de las barreras al intercambio de información sobre amenazas y la creación de un manual federal estándar para responder a incidentes cibernéticos. .

En el frente del software package, la directiva requiere que los desarrolladores se aseguren de que sus productos cumplan con ciertos estándares mínimos de seguridad para calificar para las adquisiciones del gobierno federal. Probablemente debido a las preocupaciones generadas por el ataque SolarWinds, el EO hace especial hincapié en la seguridad e integridad del software program que se ejecuta con privilegios elevados del sistema en las redes gubernamentales.

La directiva requiere que el Secretario de Comercio de EE. UU. Trabaje con el director del Instituto Nacional de Estándares y Tecnología (NIST) para obtener información sobre las pautas para la seguridad del software program de agencias federales, empresas privadas, instituciones académicas y otras entidades. Dentro de seis meses, el NIST publicará un conjunto de pautas y estándares preliminares que los desarrolladores que suministran al gobierno deberán cumplir.

La guía incluirá estándares y procedimientos que los desarrolladores necesitarán usar para proteger los entornos de desarrollo de software program, demostrar la conformidad con los estándares, mantener cadenas de suministro de código fuente confiables, verificar vulnerabilidades, proporcionar una lista de materiales de software package y otros requisitos. Se establecerá un programa piloto en los próximos meses para establecer el equivalente a la calificación «Strength Star» para software program seguro.

«El fortalecimiento de los requisitos de seguridad cibernética para la adquisición de program federal elevará el nivel para los contratistas y, con suerte, tendrá efectos dominó que impulsen la resiliencia cibernética en el sector privado», dice Harley Geiger, director senior de políticas públicas de Speedy7.

La gran pregunta, sin embargo, es si el gobierno puede actuar lo suficientemente rápido como para brindar orientación en perspectiva para la industria del computer software de manera continua, dice Kevin Bocek, vicepresidente de estrategia de seguridad e inteligencia de amenazas en Venafi.

«El desarrollo de software program está cambiando demasiado rápido y la tasa de cambio se está acelerando a medida que más empresas se trasladan a la nube», dice.

La EO también hace poco para abordar la seguridad de las identidades de las máquinas, como los certificados digitales y las claves, que son fundamentales para el desarrollo de código seguro y, de hecho, fueron un component importante en los ataques de SolarWinds, dice Bocek.

La EO de Biden es igualmente prescriptiva con el intercambio de inteligencia de amenazas entre agencias federales y el sector privado. La EO destaca el papel fundamental que desempeñan los contratistas en la provisión y el apoyo de los sistemas federales de TI y OT. Cuando un incidente de seguridad afecta a dichos contratistas, el lenguaje y los términos del contrato federal genuine a menudo pueden restringirlos para que no compartan los detalles del incidente con otros, señala la orden.

La EO elimina esas restricciones contractuales. Dentro de los próximos 60 días, estarán disponibles nuevas pautas que requieren que los contratistas y proveedores de servicios federales recopilen y preserven los datos relacionados con cualquier incidente de seguridad que los afecte. Se requerirá que los contratistas compartan información sobre violaciones que podrían afectar las redes gubernamentales no solo con sus propios clientes gubernamentales, sino con cualquier agencia que la Oficina de Administración y Presupuesto (OMB), el Departamento de Seguridad Nacional (DHS), la Agencia de Seguridad Nacional (NSA) y otras agencias federales que consideren apropiadas.

Un enfoque diferente
Mike Hamilton, CISO de CI Safety, dice que la nueva EO es diferente de las anteriores que se han centrado en cómo el gobierno federal necesita compartir datos clasificados con el sector privado.

«Esta EO revierte eso y lo convierte en un requisito para los proveedores de servicios que contratan a agencias federales para monitorear redes, recopilar registros y ponerlos a disposición en el contexto de las investigaciones», dice.

Curiosamente, las partes interesadas federales que desarrollarán los estándares, incluidos los tipos de solicitudes de investigación que estarían dentro del alcance, incluyen el Departamento de Defensa (DoD) y la NSA, dice.

«La NSA no tiene la autoridad para monitorear (o) vigilar a nivel nacional, sin embargo, tienen un asiento en la mesa para diseñar el proceso de hacer precisamente eso», dice Hamilton.

Otro aspecto del requisito de intercambio de inteligencia sobre amenazas que merece una estrecha vigilancia es todo el problema en torno a quién se considerará exactamente un proveedor de servicios bajo el ámbito de la EO.

«Si se trata de una empresa que se ocupa de la gestión de TI federal, eso es una cosa», dice Hamilton. «Si AT&T y Verizon están dentro del alcance, eso se convierte en una conversación muy diferente».

Geiger dice que los requisitos de la EO para crear un proceso estandarizado para la respuesta a incidentes cibernéticos en todo el gobierno federal es otro punto a destacar.

El objetivo de los requisitos es garantizar que las agencias federales tomen medidas y pasos uniformes para detectar y responder a los incidentes cibernéticos. El libro de jugadas incluirá estándares desarrollados por NIST para la respuesta a incidentes, así como orientación sobre el tema y cómo usar el libro de jugadas de varias otras fuentes, incluida la OMB, la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Defensa (CISA) y la NSA.

«La modernización de la ciberseguridad de las agencias federales y la estandarización de la respuesta a incidentes de las agencias están atrasadas y son necesarias para abordar los riesgos que enfrentan las agencias gubernamentales», dice Geiger.

Algunos otros requisitos notables en la orden ejecutiva incluyen aquellos relacionados con la implementación de redes de confianza cero, tecnologías de respuesta y detección de puntos finales, y la adopción de servicios en la nube.

Matt Glenn, vicepresidente de gestión de productos de Illumio, una empresa que contribuyó al lenguaje en torno a los requisitos de confianza cero, dice que los requisitos se inspiraron en gran medida en ataques recientes como el de SolarWinds y los que explotan las vulnerabilidades de Microsoft Trade.

«Las agencias federales deben implementar una arquitectura de confianza cero y permitir la segmentación para evitar que un pequeño incidente de seguridad se convierta en una catástrofe», dice.

La mayoría de las agencias federales ya han comenzado a implementar arquitecturas de confianza cero, pero el enfoque ha sido el punto final y no los centros de datos y la nube, que es donde realmente deben comenzar estos esfuerzos, dice Glenn.

NIST tiene un marco de arquitectura de confianza cero (NIST SP 800-207), que es un buen lugar para que las agencias federales comiencen, dice.

Dos críticas con la EO son que es demasiado prescriptiva y no asigna ninguna responsabilidad al gobierno mismo.

Jyoti Bansal, CEO de Traceable / Harness, señala los requisitos sobre cómo los desarrolladores deben construir, probar, implementar y ejecutar program como un ejemplo de la naturaleza excesivamente prescriptiva de algunos de los requisitos.

«Dada la urgencia del desafío en cuestión, un mejor enfoque habría sido emitir pautas y asociarse más ampliamente con expertos de la industria de manera continua», dice Bansal. El objetivo debería haber sido «definir los marcos y metodologías para abordar estos desafíos de seguridad. Ciertamente es un comienzo, pero la industria en basic debe responsabilizarse».

Hamilton, de CI Safety, dice que la EO también debería haber incluido un lenguaje sobre lo que hará el propio gobierno en determinadas situaciones. Como ejemplo, señala el uso por parte del FBI de lo que eran esencialmente herramientas de piratería para «arreglar» instancias vulnerables de Microsoft Trade después de que se observó que un grupo chino llamado Hafnium explotaba las fallas en múltiples redes.

«Métodos como este están en un área muy gris, y me hubiera gustado ver algo de lenguaje sobre lo que el Departamento de Justicia puede hacer en el futuro con una autoridad clara para hacerlo», dice Hamilton.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary