Un enfoque de toda la sociedad para la ciberseguridad: Centro de respuestas de seguridad de Microsoft

La mañana del 9 de junioel, conducía por el puente Golden Gate hacia San Francisco con mi familia. Mientras cruzaban el puente mis hijos compartieron algunos datos sobre esta maravilla de la ingeniería moderna. Cada día, aprox. 100.000 vehículos viajan sobre la cubierta del puente, que pesa la asombrosa cantidad de 150.000 toneladas y está suspendida por 250 pares de cuerdas de acero.

Notamos que una sola cuerda de acero no podría soportar un peso tan enorme. Pero cuando cientos trabajan juntos al unísono, sus fuerzas combinadas son suficientes para soportar la carga monumental del puente y sus ocupantes, con capacidad para absorber fluctuaciones en los volúmenes de tráfico y eventos de alta tensión como tormentas de viento y terremotos.

Al igual que las cuerdas de acero del puente Golden Gate, nosotros, en la comunidad de seguridad cibernética, no podemos llevar la carga solos, pero juntos «con todas las manos a la obra», podemos abordar incluso los desafíos más grandes.

Esa tarde en la RSA Convention 2022, tuve el placer de moderar un panel con Aanchal Gupta de Microsoft (@nchlgpt), Tom Garrison de Intel (@tommgarrison) y la NSA (@NSAGov) Dra. Diane Janosek (@dm_janosek) donde discutimos cómo superar una cultura de secreto para crear una colaboración entre organizaciones transparente y confiable, y el desafío de alentar la divulgación responsable sin temor a una reacción violenta.

En este website resumiré los temas tratados por cada uno de los panelistas, comenzando por el amenazas que impulsan la necesidad de una mayor colaboración.

Al comienzo de la discusión, Aanchal destacó que Cadena de suministro de software Los ataques son uno de los mayores riesgos de la industria y, por lo tanto, las prioridades para abordar diciendo «aunque este no es un riesgo nuevo, nuestra dependencia del program de código abierto y de terceros está aumentando exponencialmente, y es solo cuestión de tiempo antes de que veamos más problemas de la cadena de suministro. Log4j y Nobelium son solo la punta del iceberg”.

Aanchal luego explicó que hay dos razones principales por las que los ataques a la cadena de suministro seguirán aumentando. “Primero, a medida que crece nuestra dependencia del software package de terceros, se vuelve más atractivo para los actores de amenazas encontrar los puntos débiles. Los atacantes podrían convencer fácilmente a un infiltrado, o podrían encontrar una vulnerabilidad sin parches, para inyectar su carga útil maliciosa en la cadena de suministro. Lo que lo hace extremadamente difícil es que cierto software es omnipresente, “como la sal en la despensa”. La sal se encuentra en casi todos los bocadillos de su despensa, y puede imaginarse lo difícil que será abordar el problema si está contaminada. Log4j se convirtió en un problema desafiante debido a su uso generalizado”.

Tom explicó más detalladamente cómo la cadena de suministro está evolucionando hacia una plataforma con un «ADN digital” y la importancia de Sistema, Trazabilidad y Transparencia. “Lo que queremos hacer es despegar este tipo de casi secreto que existía en torno a qué componentes se utilizan para construir su dispositivo, ya sea una Computer, un servidor o un dispositivo IOT. Estos son la foundation de la confianza y permiten a los clientes tomar decisiones inteligentes en torno a sus plataformas. Para mantener un sistema saludable, es importante hacer preguntas sobre Parchar. ¿Cómo administro las horas added de mi sistema? ¿Soy inteligente acerca de las actualizaciones y las aplico de manera oportuna? ¿Tengo un proceso para actualizar estas máquinas regularmente?? Este es el primer paso hacia la transparencia y es un gran paso saludable”.

Luego, Diane destacó la importancia estratégica de considerar también las amenazas asociadas con IA adversaria. “Si bien la IA tiene usos de aprendizaje automático fenomenales, lo que ayuda a dar sentido a los conjuntos de datos masivos, toda la inferencia depende de la integridad de esos datos para que los algoritmos funcionen. Realmente trabajar. “Si los adversarios están alterando esos datos, reconociendo que estamos usando ciertos modelos para decisiones críticas de seguridad y más, nuestros modelos serán incorrectos”. Comprender el mundo de los ataques generados por humanos frente a la superficie de ataque basada en IA eleva el nivel de sofisticación y complejidad que debemos superar”.

A continuación, Aanchal discutió cómo las organizaciones pueden fomentar la colaboración para elevar el nivel de seguridad, comenzando con el concepto de un Lista de materiales del software program (SBOM). Para adelantarse a los riesgos de la cadena de suministro, es útil pensar en su SBOM como una «receta».

  1. Primero, saber qué ingredientes componen tu receta. ¿Tiene una lista de todo el software program de su organización? Si no, necesitas crear uno.
  2. Próximo, comprender de dónde provienen sus ingredientes y qué controles existen para garantizar su confiabilidad a medida que se producen y se le entregan.
  3. Y finalmente, confiar pero verificar. Pruebe sus ingredientes regularmente para garantizar su integridad.

Para mitigar parte de este riesgo, la El gobierno de los Estados Unidos emitió una orden ejecutiva (EO) a principios de este año. La EO es el comienzo del proceso del gobierno de los EE. UU. identificando los problemas y comprometiéndose con el sector privado para definir soluciones. Este es un esfuerzo de varios años que cambiará profundamente los requisitos para vender software al gobierno de EE. UU., uno de los mayores compradores de tecnología del planeta. A medida que ayudemos a dar forma a la EO, aumentaremos la dificultad de atacar al gobierno de EE. UU. y al software program en normal.

Como el proveedor más grande de program empresarial, tenemos la responsabilidad de brindar liderazgo y ayuda, con cosas como SBOM, donde identifica las dependencias que tiene cada pieza de application. Estamos participando activamente para ayudar a dar forma a los fundamentos de la EO.

Luego, Tom discutió la importancia de colaborar con investigadores externos E internos. “Para desarrollar una comprensión profunda de los productos y las pilas de soluciones HW/SW, esto requiere asociaciones con piratas informáticos éticos e inversiones en seguridad para impulsar una investigación más profunda para garantizar que los aprendizajes no solo resuelvan problemas heredados e históricos, sino que también garanticen la seguridad a largo plazo. a medida que damos forma a futuros productos y tecnologías”.

Luego, el panel pasó a discutir la paradójica necesidad de transparencia y divulgación responsable dentro de una cultura de secreto. Esto fue discutido con gran energía y pasión, no solo por los panelistas sino también por miembros de la audiencia. Siempre existe la tensión de cómo mantenemos la confidencialidad sobre la vulnerabilidad hasta que todos los socios tengan una mitigación o solución, pero también nos aseguramos de que las partes interesadas estén bien informadas. No se trata solo de hacer lo correcto moralmente, sino que también es bueno para las empresas compartir la información de manera oportuna. Estamos en un punto de inflexión donde esta claridad y realización está ayudando a impulsar la colaboración intencional en la divulgación de vulnerabilidades para parchear como una prioridad y esperamos lograr un progreso medible aquí.

El panel acordó que no debemos penalizar ni condenar al ostracismo a las personas por compartir una infracción de su sistema. Necesitamos cambiar la cultura de la culpa al apoyo de la comunidad. Cuando apoyamos a las organizaciones para que compartan su experiencia, obtendremos mejores conocimientos y también ayudará a identificar los problemas de la cadena de suministro desde el principio. Es por temor a las represalias que la gente no comparte los detalles. Ayúdelos a convertirse en mejores vendedores y proveedores de servicios compartiendo sus conocimientos. Su incumplimiento ya no es solo su incumplimiento Estamos todos juntos en esto.

Finalmente, la conversación pasó a trabajar con las fuerzas del orden público para garantizar que los ciberdelincuentes rindan cuentas. Diane dio este maravilloso ejemplo: “Considere los sectores de infraestructura críticos para los Estados Unidos (por ejemplo, el sector de la energía, el sector del transporte, etcetera.). El 80% son administrados por el sector privado y el 20% por el gobierno. Entonces, incluso si yo, como gobierno, obtengo una calificación A para mi 20% (que es defensa y telecomunicaciones), no es lo suficientemente bueno para el país si todos los demás sectores fallan. Necesitamos establecer un buen equilibrio para poder realizar la misión de inteligencia de señales y la misión de seguridad cibernética en el gobierno y el sector privado, para obtener una protección holística, al mismo tiempo que se protege la Constitución”. Este es un punto critical para un enfoque de toda la sociedad debemos continuar asociándonos con todos los sectores, privado y gubernamental, para garantizar que preservamos la privacidad y la seguridad de manera integral.

Pensando en el puente Golden Gate, las perchas de acero individuales no soportan solo los vehículos directamente debajo de ellas. Cada colgador es essential para soportar todo el puente y todos los vehículos que viajan por él, sin importar en qué parte del puente se encuentre el vehículo. De manera identical, para aquellos de nosotros en la industria de la seguridad cibernética y nuestros respectivos clientes y productos, cuando trabajamos juntos, creamos una base más sólida y resistente para todos.

Vea el panel bajo demanda en este enlace: https://cybersecurityinside.com/movie/cybersecurity-rsa-panelists/

Escuche el panel bajo demanda en este enlace: https://cybersecurityinside.com/episodes/secure-cyber-collaboration-rsa/

Lea el blog site ‘Supply Chain Protection is Evolving to a System with Electronic DNA’ de Tom Garrison en este enlace: https://buff.ly/3xEYb2A





Fuente del articulo