Ya es hora de un sistema de puntuación de seguridad para …


Un sistema de evaluación comparativa ayudaría a los compradores a elegir productos de application más seguros y, lo que es más importante, a encender un fuego debajo de los productores de application para que los productos sean seguros.

Motivada en parte por ataques devastadores como los de SolarWinds Orion, Microsoft Trade y Colonial Pipeline, la Casa Blanca emitió una orden ejecutiva sobre ciberseguridad en mayo. La seguridad de las aplicaciones es una parte importante del documento, con especial énfasis en la seguridad de la cadena de suministro de program para todas las aplicaciones utilizadas por el gobierno federal.

El énfasis de la administración en las cadenas de suministro de software es bienvenido considerando el entorno actual de amenazas. Los clientes de SolarWinds, por ejemplo, no tenían manage sobre la integridad del software package de esa empresa y no tenían forma de saber que habría un problema con una actualización de software package en unique. SolarWinds Orion era simplemente un application estándar que habían comprado. De hecho, los clientes de SolarWinds afectados estaban haciendo lo correcto al instalar actualizaciones rápidamente.

Un posible sistema de puntuación de seguridad del software program
Aunque las regulaciones necesarias para implementar la orden ejecutiva aún no se han emitido, una posible forma de evaluar el cumplimiento sería un sistema de clasificación para la seguridad del application. La Comisión del Solárium del Ciberespacio (CSC), que se formó en 2019 para desarrollar un consenso sobre un enfoque estratégico para defender a Estados Unidos contra los ciberataques, recomendado en su Informe 2020 un sistema voluntario, similar a las calificaciones Energy Star de los electrodomésticos de EE. UU. y el sistema de calificación de Singapur para los dispositivos de World-wide-web de las cosas (IoT). Otros están presionando para que sea obligatorio.

Algunos observadores han abogado por un sistema de puntuación para el program durante más de una década. La clave es una etiqueta de seguridad de application público con una puntuación common y detalles de apoyo fáciles de entender y calcular. Algunos consumidores utilizarán la etiqueta para elegir productos de computer software más seguros, pero lo que es más importante, este esquema de etiquetado motivará a las empresas de computer software a mejorar sus puntajes públicos invirtiendo en una sólida seguridad de aplicaciones para sus productos.

¿Cómo debería ser un sistema de puntuación?
Si bien un sistema de puntuación de software package puede adoptar diferentes formas, un aspecto indispensable es la necesidad de tener en cuenta toda la cadena de suministro de computer software. Los proveedores de software program necesitan conocer las calificaciones de seguridad de los componentes de sus aplicaciones: las bibliotecas de código abierto que son tan omnipresentes en el software en estos días. Esto se debe a que más del 90% de las aplicaciones contienen código de bibliotecas de terceros. Una vez que una pieza de software program estándar se comercializa, los usuarios de ese program necesitan una puntuación de seguridad common única que tenga en cuenta los componentes.

No es factible idear un instrumento perfecto para medir todos los aspectos de la seguridad para cada tipo de software posible. Pero es posible crear un marco que (1) permita a los compradores de software tomar decisiones más informadas y (2) aliente a los productores a crear un mejor computer software con más visibilidad de seguridad.

A continuación se muestra un modelo conceptual para ayudar a imaginar cómo podría funcionar un sistema de puntuación de este tipo. El computer software simplemente se evalúa contra seis áreas clave de seguridad y se le asigna una calificación. Como puede ver, las cosas son desordenadas o inexistentes en la parte inferior, mientras que las de la parte exceptional son continuas, automatizadas, estandarizadas y completas.

(Fuente: Contrast Security)

(Fuente: Contrast Safety)

Según el puntaje de una aplicación en cada una de estas categorías, se podría asignar una calificación de letra common que sería noticeable en las páginas internet de los productos, materiales de advertising y empaques físicos. Con base en este grado de letra fácil de entender, las organizaciones y los consumidores que elijan entre dos soluciones de software program diferentes podrían tener en cuenta la seguridad cuando tomen una decisión.

Todos los usuarios de software package deberían poder ver las calificaciones con letras (A, B, C, D, F) para sus aplicaciones y bibliotecas de código abierto en tiempo serious, junto con notificaciones cuando cambien esas calificaciones. El mismo sistema debe proporcionar información procesable a los desarrolladores sobre la mejor manera de mejorar la puntuación basic de una aplicación. Esto proporcionaría una plataforma unificada de herramientas que garantiza la seguridad en todo el ciclo de vida del desarrollo de program, durante la compilación, prueba y ejecución.

Puntaje de program: habilitación de la toma de decisiones informada
Un sistema de puntuación de software package mejoraría la seguridad nacional al permitir que las organizaciones, como las agencias federales recientemente víctimas del ataque SolarWinds, tomen decisiones informadas. También encenderá un fuego debajo de los productores de software package para que tomen las medidas necesarias para que sus productos sean seguros.

Jeff aporta más de 20 años de experiencia en liderazgo de seguridad como cofundador y director de tecnología de Distinction. Anteriormente, Jeff fue cofundador y director ejecutivo de Component Protection, una empresa de consultoría de seguridad de aplicaciones innovadora y exitosa … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary