1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. Aspectos destacados de la Nueva Estrategia de Ciberseguridad de EE.

Aspectos destacados de la Nueva Estrategia de Ciberseguridad de EE.

La administración Biden emitió hoy su visión para reforzar la postura colectiva de ciberseguridad de la nación, incluidos los pedidos de legislación que establezca la responsabilidad de los productos y servicios de software que se venden con poca consideración por la seguridad. La nueva estrategia nacional de ciberseguridad de la Casa Blanca también prevé un papel más activo de los proveedores de la nube y el ejército de los Estados Unidos para interrumpir la infraestructura de los ciberdelincuentes, y nombra a China como la mayor amenaza cibernética para los intereses de los Estados Unidos.

La estrategia dice que la Casa Blanca trabajará con el Congreso y el sector privado para desarrollar una legislación que evite que las empresas rechacen la responsabilidad por la seguridad de sus productos o servicios de software.

Junto con este palo sería una zanahoria: un "marco de puerto seguro" aún indefinido que establecería lo que estas compañías podrían hacer para demostrar que están haciendo de la ciberseguridad una preocupación central de su diseño y operaciones.

"Cualquier legislación de este tipo debería evitar que los fabricantes y editores de software con poder de mercado renuncien por completo a la responsabilidad contractual, y establecer estándares más altos de atención para el software en escenarios específicos de alto riesgo", explica la estrategia. "Para comenzar a dar forma a los estándares de atención para el desarrollo seguro de software, la Administración impulsará el desarrollo de un marco de puerto seguro adaptable para protegerse de las compañías de responsabilidad que desarrollan y mantienen de manera segura sus productos y servicios de software.”

Brian Fox, director de tecnología y fundador de la empresa de seguridad de la cadena de suministro de software Tipo de sonido, llamado el empuje de responsabilidad de software un momento histórico para la industria.

"Las fuerzas del mercado están llevando a una carrera hacia el fondo en ciertas industrias, mientras que la ley contractual permite a los proveedores de software de todo tipo protegerse de la responsabilidad", dijo Fox. "Las regulaciones para otras industrias pasaron por una transformación similar — y vimos un resultado positivo: ahora hay una expectativa de cuidado apropiado y responsabilidad para aquellos que no cumplen . Establecer el concepto de puertos seguros permite a la industria madurar de manera incremental, nivelando las mejores prácticas de seguridad para mantener un escudo de responsabilidad, en lugar de exigir una reforma radical y resultados poco realistas como lo han hecho los intentos regulatorios anteriores.”

LA AMENAZA MÁS ACTIVA Y PERSISTENTE

En 2012 (hace aproximadamente tres estrategias cibernéticas nacionales), entonces director de la Agencia de Seguridad Nacional de los Estados Unidos (NSA) Keith Alexander llegó a los titulares cuando comentó que años de exitosas campañas de ciberespionaje de piratas informáticos patrocinados por el Estado chino representaron "la mayor transferencia de riqueza de la historia.”

El documento publicado hoy dice que la República Popular China (RPC) "ahora presenta la amenaza más amplia, activa y persistente para las redes gubernamentales y del sector privado", y dice que China es "el único país con la intención de remodelar el orden internacional y, cada vez más, el poder económico, diplomático, militar y tecnológico para hacerlo".”

Muchos de los esfuerzos del gobierno de Estados Unidos para frenar la destreza tecnológica de China involucran iniciativas en curso como la Ley de CHIPS, una nueva ley firmada por el presidente Biden el año pasado que reserva más de $50 mil millones para expandir la fabricación e investigación de semiconductores con sede en EE. y para hacer que Estados Unidos sea menos dependiente de proveedores extranjeros; Iniciativa Nacional de Inteligencia Artificial; y el Estrategia Nacional para Asegurar 5G.

Como fabricante de la mayoría de los artilugios de consumo con un chip de computadora en su interior, China también es la fuente de una increíble cantidad de dispositivos de Internet de las Cosas (IoT) de bajo costo que no solo están mal protegidos, sino que probablemente se describen con mayor precisión como inseguro por diseño.

La administración Biden dijo que continuaría con sus planes anunciados anteriormente desarrollar un sistema de etiquetado que pueda aplicarse a diversos productos de IoT y dar a los consumidores una idea de cuán seguros pueden ser los productos. Pero no está claro cómo esas etiquetas podrían aplicarse a productos fabricados por compañías fuera de los Estados Unidos.

COMBATIENDO LA MALDAD EN LA NUBE

Se podría argumentar de manera convincente que el mundo ha sido testigo de otra transferencia histórica de riqueza y secretos comerciales en la última década, en forma de ataques de ransomware y rescate de datos por parte de sindicatos de ciberdelincuentes con sede en Rusia, así como operaciones de agencias de inteligencia rusas como el compromiso de los vientos solares en todo el gobierno de los Estados Unidos.

En el frente del ransomware, la estrategia de la Casa Blanca parece centrarse en gran medida en desarrollar la capacidad de interrumpir la infraestructura digital utilizada por los adversarios que amenazan los intereses cibernéticos vitales de Estados Unidos. El documento apunta a el derribo en 2021 de la botnet Emotet - una máquina de cibercrimen que fue muy utilizada por múltiples grupos de ransomware rusos, como modelo para esta actividad, pero dice que esas operaciones disruptivas deben ocurrir más rápido y con más frecuencia.

Con ese fin, la administración Biden dice que ampliará la capacidad del Grupo de Trabajo Conjunto Nacional de Investigación Cibernética (NCIJTF), la principal agencia federal para coordinar las investigaciones de amenazas cibernéticas entre las agencias de aplicación de la ley, la comunidad de inteligencia y el Departamento de Defensa.

"Para aumentar el volumen y la velocidad de estas campañas de interrupción integradas, el Gobierno Federal debe desarrollar aún más plataformas tecnológicas y organizativas que permitan operaciones continuas y coordinadas", observa la estrategia. "La NCIJTF ampliará su capacidad para coordinar campañas de desmantelamiento e interrupción con mayor velocidad, escala y frecuencia. Del mismo modo, el Departamento de Defensa y la comunidad de inteligencia se comprometen a utilizar toda su gama de autoridades complementarias para las campañas de interrupción.”

La estrategia anticipa que el gobierno de los Estados Unidos trabajará más estrechamente con los proveedores de infraestructura en la nube y otros proveedores de infraestructura de Internet para identificar rápidamente el uso malicioso de la infraestructura con sede en los Estados Unidos, compartir informes de uso malicioso con el gobierno y facilitar que las víctimas denuncien el abuso de estos sistemas.

"Dado el interés de la comunidad de ciberseguridad y de los propietarios y operadores de infraestructuras digitales en continuar con este enfoque, debemos mantener y ampliar este modelo para que las operaciones de interrupción colaborativa puedan llevarse a cabo de forma continua", argumenta la estrategia. "La colaboración específica para amenazas debe tomar la forma de células ágiles y temporales, compuestas por un pequeño número de operadores confiables, alojados y respaldados por un centro relevante . Utilizando plataformas de colaboración virtual, los miembros de la célula compartirían información de forma bidireccional y trabajarían rápidamente para interrumpir a los adversarios.”

Pero aquí, de nuevo, hay un enfoque de zanahoria y palo: la administración dijo que está tomando medidas para implementar Orden Ejecutiva (EO) 13984 - emitido por la administración Trump en enero de 2021, que requiere que los proveedores de la nube verifiquen la identidad de las personas extranjeras que utilizan sus servicios.

"Todos los proveedores de servicios deben hacer intentos razonables para asegurar el uso de su infraestructura contra el abuso u otro comportamiento delictivo", establece la estrategia. "La Administración dará prioridad a la adopción y aplicación de un enfoque basado en el riesgo para la ciberseguridad en los proveedores de Infraestructura como Servicio que aborde los métodos e indicadores conocidos de actividad maliciosa, incluso a través de la implementación de EO 13984.”

Ted Schlein, socio fundador de la firma de capital riesgo de ciberseguridad Empresas Balísticas, dijo que la forma en que esto se implemente determinará si puede ser efectivo.

"Los adversarios saben que la NSA, que es la parte de élite de la defensa cibernética de la nación, no puede monitorear la infraestructura con sede en Estados Unidos, por lo que solo usan la infraestructura en la nube con sede en Estados Unidos para perpetrar sus ataques", dijo Schlein. "Tenemos que arreglar esto. Creo que parte de esta sección es un poco pollyannaish, ya que asume que un mal actor con el deseo de hacer algo malo se autoidentificará, ya que la principal recomendación aquí es KYC ('conozca a su cliente').”

ASEGURAR A LAS ASEGURADORAS

Una sección breve pero interesante de la estrategia titulada "Explore un telón de fondo de Seguro Cibernético Federal" contempla la responsabilidad y la respuesta del gobierno a un escenario demasiado grande para fallar o "incidente cibernético catastrófico".”

"Exploraremos cómo el gobierno puede estabilizar los mercados de seguros contra riesgos catastróficos para impulsar mejores prácticas de ciberseguridad y proporcionar certeza al mercado cuando ocurran eventos catastróficos", dice la estrategia.

Cuando la administración Bush lanzó la primera estrategia nacional de ciberseguridad de Estados Unidos hace 20 años después de los ataques del 9/11, el término popular para ese mismo escenario era un "Pearl Harbor digital", y se habló mucho entonces de cómo el mercado de seguros cibernéticos pronto ayudaría a las empresas a reforzar sus prácticas de ciberseguridad.

A raíz de innumerables intrusiones de ransomware, muchas empresas ahora tienen un seguro de ciberseguridad para ayudar a cubrir los considerables costos de responder a tales intrusiones. Dejando de lado la cuestión de si la cobertura de seguro ha ayudado a las empresas a mejorar la seguridad, ¿qué sucede si cada una de estas empresas tiene que hacer un reclamo al mismo tiempo?

La noción de un incidente digital de Pearl Harbor sorprendió a muchos expertos en ese momento como una justificación hiperbólica para expandir las capacidades de vigilancia digital del gobierno y una exageración de las capacidades de nuestros adversarios. Pero en 2003, la mayoría de las empresas del mundo no alojaban todo su negocio en la nube.

Hoy en día, nadie cuestiona las capacidades, los objetivos y los resultados de docenas de adversarios cibernéticos a nivel de Estado-nación. Y en estos días, un incidente cibernético catastrófico podría ser poco más que una interrupción prolongada y simultánea en múltiples proveedores de la nube.

La estrategia nacional de ciberseguridad completa está disponible en sitio web de la Casa Blanca (PDF).



>>Más