Mirando más allá de la directiva de seguridad vinculante de Biden



En noviembre de 2021, la administración Biden emitió un directiva operativa vinculante que creó dos herramientas principales para proteger los datos y sistemas federales contra los ataques cibernéticos. Primero, estableció un catálogo formal, administrado por la Agencia de Seguridad de Infraestructura y Ciberseguridad, de vulnerabilidades críticas conocidas y explotadas y segundo, estableció los requisitos para que todas las agencias federales (y contratistas) los remediaran. Esta nueva directiva tiene como objetivo proteger a las agencias gubernamentales de los riesgos cibernéticos que podrían conducir a intrusiones significativas en sus redes y sistemas. Resulta que las agencias federales, al igual que sus contrapartes privadas, enfrentan desafíos importantes en lo que respecta a la administración de parches.

Esta directiva no podía llegar en un momento más oportuno. Los últimos 12 a 24 meses han visto un rápido aumento en los ataques sofisticados por parte de los actores de amenazas que están altamente financiados y motivados para exfiltrar información confidencial. Estos ataques afectan a todos nuestros sistemas interconectados tanto en el sector público como en el privado nadie es inmune. Nuestra investigación de amenazas ha demostrado que los actores de amenazas explotan rápidamente las vulnerabilidades conocidas, a menudo formulando un ataque dentro de las 72 horas posteriores a la publicación de un parche. Desafortunadamente, pocas entidades tienen los recursos para parchear eso rápidamente.

Lo que es realmente alarmante, sin embargo, es cuán atrasadas están muchas organizaciones públicas y privadas con sus procedimientos de administración de parches. Con frecuencia encontramos vulnerabilidades conocidas en las aplicaciones críticas para el negocio de nuestros clientes que tienen varios años y aún no están parcheadas. Esta directiva busca cambiar eso, asegurando que las agencias y sus proveedores externos desarrollen planes para encontrar y remediar estas vulnerabilidades conocidas.

Múltiples estudios demuestran que detectar vulnerabilidades y priorizar los parches correctos de manera rápida y eficiente son los mayores desafíos. Al establecer un catálogo priorizado de vulnerabilidades, la directiva busca dar una ventaja a las agencias federales. Sin embargo, la responsabilidad de establecer un system y un proceso de remediación aún recae en las agencias federales individuales.

Sin embargo, nos complace ver que la administración Biden da este paso elementary para mejorar la postura de seguridad cibernética de los Estados Unidos y, por extensión, las empresas que brindan servicios al gobierno federal. Si bien es audaz, sigue siendo solo el primer paso para minimizar y mitigar el riesgo de los sistemas críticos que utilizan el gobierno de los Estados Unidos y sus socios de la industria privada. Los requisitos de la medida solo hacen cumplir lo que ya sabemos que son prácticas de seguridad estándar.

Deberíamos aprovechar este momento para explorar qué otras mejores prácticas de seguridad cibernética son frecuentemente difíciles de seguir para las organizaciones. Hemos visto que las prácticas de seguridad estándar laxas pueden conducir a resultados catastróficos. Aquí hay ejemplos seleccionados de procedimientos de seguridad que tendrán un gran impacto en la postura de seguridad de los Estados Unidos y sus socios privados.

Identificar y mitigar el riesgo de terceros
Una organización es tan segura como su eslabón más débil. Debido a que las aplicaciones críticas son fundamentales para las operaciones de una organización, están conectadas no solo a múltiples sistemas internos sino también a terceros. Dado que estas aplicaciones se ejecutan en múltiples entidades, las organizaciones necesitan un proceso registrado para evaluar el riesgo de terceros. Por lo tanto, es esencial extender cualquier programa de gestión de vulnerabilidades a los sistemas conectados y a terceros para comprender el riesgo con mayor precisión.

Comience por evaluar a todos los proveedores externos. Tener una comprensión clara de a qué datos pueden acceder y cómo los están utilizando.

Instituir Controles de Monitoreo Continuo
Como vimos con el ataque de SolarWinds, a veces una actualización de computer software de rutina puede tener un impacto significativo en la ciberseguridad en las agencias federales y las industrias privadas. Si bien es importante fortalecer las defensas, también debes asegurarte de que el zorro no esté dentro del gallinero.

La implementación de un sistema para monitorear sus aplicaciones críticas en tiempo serious puede ayudar a identificar las amenazas a medida que ocurren, alertar a los equipos de respuesta rápida correctos para que intervengan antes de que se conviertan en una disaster y, en última instancia, evitar que los actores de amenazas exfiltren datos confidenciales.

Ofrezca una mejor educación sobre ciberseguridad a los empleados
Estudios repetidos muestran que los ataques de phishing y la ingeniería social son dos de las formas más comunes en que las agencias y las redes se ven comprometidas. (¡El otro es explotar las vulnerabilidades del computer software!) A menudo, las personas presionadas por el tiempo o simplemente tratando de hacer su trabajo cometen errores simples. Hacen clic en enlaces de phishing o que contienen malware.

De todos los vectores de ataque, este es uno que es altamente prevenible al ayudar a los empleados a comprender cómo son atacados.

Volver a lo básico
La directiva sobre la gestión de parches obligará a las agencias y sus socios a abordar las vulnerabilidades conocidas en sus sistemas, algo que deberían haber estado haciendo todo el tiempo. La directiva de la administración de Biden buscará cortar en gran medida ese vector de ataque. Debido a que la directiva se aplica a todo el computer software que se encuentra en los sistemas de información federales, ya sea administrado en las instalaciones de la agencia o alojado por terceros en nombre de una agencia, tendrá un impacto de gran alcance.

La administración Biden ha tomado algunas medidas audaces para generar conciencia y responsabilidad en las agencias federales con respecto a las vulnerabilidades de software package que ponen en riesgo a nuestro gobierno y nuestra sociedad. Esperamos ver que el gobierno federal comience a institucionalizar otras mejores prácticas de seguridad. Como sabemos, las acciones tomadas a nivel federal pueden tener un efecto dominó en la industria privada. Si el gobierno federal toma la iniciativa aquí, su influencia e impacto en los sectores público y privado serán profundos, lo que conducirá a una mejor seguridad para nuestros sistemas más críticos ahora y en el futuro.



Enlace a la noticia original