La orden ejecutiva de Biden apuesta fuerte por la confianza cero para el futuro de la ciberseguridad de EE. UU.


El gobierno federal de los Estados Unidos ha validado, confirmado y exigido cero confianza. Para el gobierno de los Estados Unidos y sus proveedores, esta orden ejecutiva representa un cambio masivo.

Seguridad de datos

Imagen: Andriy Onufriyenko / Getty Pictures

Esta publicación se centra en el Orden ejecutiva sobre la mejora de la ciberseguridad de la nación y su impacto en la ciberseguridad y el enfoque de confianza cero. La administración Biden también publicó un hoja de hechos: «El presidente firma una orden ejecutiva que traza un nuevo rumbo para mejorar la ciberseguridad de la nación y proteger las redes del gobierno federal», brindando un resumen sólido de la orden ejecutiva que recomendamos revisar, especialmente para las entidades no gubernamentales.

El equipo de seguridad y riesgos de Forrester ha hecho sonar el tambor de la confianza cero durante más de una década. Y ahora, el gobierno federal de los Estados Unidos ha validado, confirmado y exigido cero confianza. Para el gobierno de los Estados Unidos y sus proveedores, esta orden ejecutiva representa un cambio masivo. Pero las organizaciones no gubernamentales también deben esperar sentir las repercusiones de esto.

VER: Política de protección contra robo de identidad (TechRepublic Premium)

Efectos dominó de la orden ejecutiva

La orden ejecutiva no afecta directamente al sector privado, pero los grandes esfuerzos transformadores como este conducirán a un cambio mucho más allá del gobierno para los proveedores de seguridad y las organizaciones empresariales. Los procesos de adquisiciones del gobierno federal de los EE. UU. Son rígidos, anticuados y glaciales, y partes de esta orden ejecutiva buscan abordar. Sin embargo, la naturaleza rígida de ese proceso de adquisición también proporciona una línea de foundation que otras organizaciones empresariales utilizan para ayudarlas a codificar y estandarizar los requisitos. Esta orden ejecutiva se expandirá drásticamente más allá del gobierno a medida que las organizaciones empresariales la busquen en busca de orientación.

Los cambios importantes en la contratación pública como este crean incentivos comerciales dada la cantidad de dinero que gasta el gobierno. Las estimaciones basadas en las solicitudes presupuestarias de las agencias estadounidenses sitúan el gasto federal en ciberseguridad por encima de los 18.000 millones de dólares. Por ejemplo, desde Diciembre de 2020, solo la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha recibido $ 2.6 mil millones de financiación. A continuación, detallaremos las principales áreas de impacto.

SBOM llega su día

Desde 2018, la Administración Nacional de Telecomunicaciones e Información (NTIA) del Departamento de Comercio de EE. UU. Ha coordinado un esfuerzo de la industria para impulsar la transparencia en el proceso de adquisición de software package para que las organizaciones comprendan qué hay en el software program que crean, compran y usan. El requisito de la orden ejecutiva de que los productos proporcionen una lista de materiales de computer software (SBOM) ayudará a las organizaciones a gestionar el riesgo al permitirles determinar rápidamente qué componentes de software vulnerables hay en sus productos.

SBOM a menudo se compara con una lista de ingredientes en el empaque de alimentos mientras que muchos de nosotros solo echamos un vistazo a la lista de ingredientes, las personas con alergias a los alimentos tienen especial cuidado para asegurarse de que lo que están a punto de comer no les dañe. SBOM permite a las organizaciones ver fácilmente si los productos que utilizan y construyen contienen componentes con vulnerabilidades críticas. Cuando los investigadores descubren nuevas vulnerabilidades en el código abierto u otros componentes de computer software, los equipos de seguridad pueden revisar rápidamente los SBOM, determinar qué productos tienen esos componentes y priorizar la corrección.

En los próximos 60 días, la Secretaría de Comercio debe publicar los elementos mínimos para un SBOM. En la actualidad, existen múltiples formatos SBOM y carecemos de convenciones de nomenclatura estandarizadas para todos los componentes de software program. Esto, desafortunadamente, no será universalmente consistente el primer día, pero es un movimiento en la dirección correcta.

Dejando a un lado la posible confusión de formato, es importante poner a disposición de los usuarios un SBOM suficientemente bueno. Tampoco entendemos todos los ingredientes que leemos en las etiquetas de los alimentos. Espere que el análisis de composición de application (SCA), la gestión de vulnerabilidades y los proveedores de gestión de riesgos de terceros permitan a sus clientes mediante la integración de las convenciones SBOM preferidas en sus ofertas.

Cadena de suministro y riesgo de terceros

La orden ejecutiva incluye el desarrollo de criterios «para evaluar las prácticas de seguridad de los desarrolladores y proveedores mismos» y propone un sistema de etiquetado para identificar aquellos proveedores y productos que han superado una línea de foundation. La formalización y especificidad de esta parte de la orden ejecutiva se alinea con uno de los principales problemas que enfrentan todas las organizaciones que se ocupan del application y la tecnología en la actualidad, independientemente del segmento. El hecho de que las empresas se tomen o no el tiempo para «asegurar lo que vende» es una causa fundamental recurrente de violaciones y pérdida de datos, con problemas recientes que aceleran la firma de esta orden ejecutiva.

Una junta nacional de seguridad en el transporte equivalente a la ciberseguridad

Con esta orden ejecutiva, finalmente tendremos un organismo (con representación tanto del sector público como del privado) para hacer frente a los «accidentes de tren» en ciberseguridad. Esto mejorará enormemente el intercambio de información entre los sectores público y privado, ayudando a las organizaciones a priorizar la implementación del individual adecuado, las tecnologías de seguridad y los procesos que importan. Con el establecimiento de la Junta de Revisión de Seguridad Cibernética, finalmente podemos tener información sobre incidentes cibernéticos críticos compartidos entre industrias, junto con recomendaciones prescriptivas esenciales sobre cómo otra organización puede evitar los mismos peligros.

Otras áreas tratadas en la orden ejecutiva

El intercambio de información entre el sector privado y el gobierno recibe atención. Los libros de estrategias de respuesta estandarizados, los estándares de informes, la detección, la investigación, la respuesta y la remediación también reciben menciones. Gran parte de los detalles en estas áreas se producirán en los próximos 60 a 120 días, ya que varias agencias y puestos a nivel de gabinete recibieron fechas límite para crear y emitir las políticas que harán que esta orden ejecutiva se convierta en realidad y opere en todo el gobierno federal y el sector privado. Los próximos dos a cuatro meses serán duras para el gobierno. Después de eso, será así para todos los demás a medida que leemos, asimilamos y consideramos cómo aplicamos estos elementos en nuestros propios programas de seguridad y riesgo.

Existe entusiasmo porque este es un momento significativo en la historia de la ciberseguridad para los Estados Unidos. Sin embargo, la historia dicta que evitemos hacernos ilusiones demasiado. Los defectos existen, y los exploramos a continuación, incluidas todas las posibles formas en que esto sale mal.

Las porciones parecen una larga lista de tecnologías con una pegatina para el parachoques de confianza cero

Como se mencionó anteriormente, esta es la primera vez que la política pública reconoce que el real modelo federal de ciberseguridad está roto y desactualizado. Estos son los primeros pasos que deben tomarse, considerando que tenemos casi 30 años de datos y 10 años de ataques altamente dañinos que confirman lo obvio: el gobierno de EE. UU. Está en la mira de otros países, al igual que otros gobiernos son el objetivo de EE. UU. . Forrester predijo que un gobierno formalizaría la confianza cero como marco y, efectivamente, period Estados Unidos.

Esta orden ejecutiva grita «¡Necesitamos comprar más tecnología!» para resolver el problema (p. ej., la detección y respuesta de endpoints se menciona al menos 12 veces), pero en common, eso es lo último en la lista que usamos para permitir que se resuelvan los problemas. E incluso ahora rumores de viejos proveedores «nuevos» que entran en el mercado están surgiendo. Algunos de esos proveedores representan los problemas de los que deberíamos huir, no hacia.

Hoy en día, la mayoría de las agencias y departamentos no tienen presupuesto para estos elementos, el particular para ejecutar estas herramientas ni el tiempo libre necesario para implementarlos. Si esto termina en el ámbito de la mayoría de las implementaciones de productos de seguridad empresarial (la mitad de las implementaciones, el estante y solo el 30% de las funciones utilizadas), entonces todo lo que hemos hecho es crear un «paquete de estímulo para proveedores de seguridad del gobierno». No estamos seguros de que eso beneficie a nadie, excepto a los inversores y accionistas de esos proveedores. Deben existir incentivos reales que impulsen la transformación de la seguridad en todos los niveles de gobierno para que esto tenga éxito. Los profesionales de la seguridad saben que más controles por el very simple hecho de agregar controles solo agrega más complejidad, no necesariamente más o mejor seguridad.

Todavía falta orientación sobre la totalidad del ciclo de vida de la seguridad

Lamentablemente, la orientación del Instituto Nacional de Estándares y Tecnología (NIST) debe evolucionar mucho para basarse más en la realidad tecnológica en la que vivimos actualmente. La orientación true que se publicó a fines del año pasado depende de poder detectar un mal actor dentro de su entorno a través de herramientas con algún tipo de detección de anomalías con elevado eficacia. La industria de la seguridad ha estado persiguiendo a este unicornio de detección mágica durante años, y todavía no está allí hoy.

Esta arquitectura de referencia aporta valor, pero debe evolucionar y tener en cuenta los continuos dolores que enfrentan los profesionales de la seguridad. Las arquitecturas de referencia del NIST deben basarse en la realidad, y la orientación debe evolucionar para coincidir con lo que las organizaciones están implementando realmente para llegar a la confianza cero.

La confianza cero ha llegado (finalmente) a la corriente principal

Al igual que esa banda underground favorita que finalmente lanza un sencillo de éxito en Spotify, la confianza cero se ha abierto camino en la corriente principal. El enfoque de confianza cero ahora tendrá un impacto en la forma en que Estados Unidos asegura su gobierno federal. Forrester espera que la adopción se expanda a nivel mundial y en las infraestructuras corporativas.

Esta publicación fue escrita por el vicepresidente y analista principal Jeff Pollard, y apareció originalmente aquí.

Ver también



Enlace a la noticia original