Por John K. Higgins
3 de agosto de 2021 2:08 p.m. PT
El gobierno de EE. UU. Se está moviendo rápida y agresivamente para abordar las vulnerabilidades de seguridad cibernética que afectan tanto al gobierno federal como al sector privado.
En una amplia orden ejecutiva (EO), el presidente Joseph Biden ordenó a las agencias federales que establezcan múltiples programas diseñados para mitigar los tipos de ataques recientes de ciberseguridad que han atraído la atención nacional.
El sector de la tecnología de la información, incluidas las empresas que participan directa e indirectamente en el suministro de productos y servicios de TI al gobierno federal, se verá especialmente afectado por la provisiones de la "Orden ejecutiva sobre la mejora de la ciberseguridad de la nación" de Biden.
Estados Unidos “enfrenta campañas cibernéticas maliciosas persistentes y cada vez más sofisticadas”, declaró el presidente cuando emitió la EO el 12 de mayo de 2021. “Las mejoras incrementales no nos darán la seguridad que necesitamos; en cambio, el gobierno federal necesita hacer cambios audaces e inversiones significativas para defender las instituciones vitales que sustentan el estilo de vida estadounidense ”, dijo.
El plan adopta múltiples mecanismos cibernéticos
La EO estableció varios objetivos para mejorar la seguridad cibernética dentro del gobierno federal, incluido el fortalecimiento de los estándares y el refuerzo de la detección. La directiva también pide mejorar el intercambio de información cibernética entre el gobierno y las empresas, y el establecimiento de una Junta de Revisión de Seguridad Cibernética, siguiendo el modelo de la Junta Nacional de Seguridad en el Transporte.
En general, las comunidades empresariales y de TI apoyaron el plan Biden, pero principalmente en el contexto de que la OE era un primer paso y requeriría una participación significativa del sector privado. Aaron Cooper, vicepresidente de política global de BSA | Software Alliance, dijo que el grupo estaba "impresionado por la amplitud y la audacia de esta orden ejecutiva", al tiempo que señaló que BSA estaba abierta "a trabajar con la Administración en la implementación y a promover prácticas de seguridad de software tanto dentro como fuera del gobierno".
En una línea similar, Jason Oxman, presidente del Consejo de la Industria de Tecnología de la Información (ITI) aplaudió la iniciativa y señaló que su organización prevé colaborar con la Administración para mejorar la seguridad "al tiempo que minimiza cualquier impacto potencial en la privacidad, las libertades civiles y la competitividad de Estados Unidos".
El seguimiento de software despierta la atención del proveedor
Es importante destacar que la iniciativa requirió la emisión de un documento que describa los "elementos mínimos" de una Lista de materiales de software (SBOM) que las agencias federales pueden usar para garantizar la protección cibernética al contratar proveedores para la adquisición de productos y servicios de TI.
La EO tenía como objetivo incorporar un esquema de protección SBOM en las adquisiciones de contratos federales de tecnología operativa y de TI (OT) dentro de un año, a través del proceso de regulación federal de adquisiciones (FAR).
Ese impacto en las adquisiciones probablemente impulsó la presentación de más de 80 comentarios a la Administración Nacional de Telecomunicaciones e Información (NTIA), una agencia dentro del Departamento de Comercio. La orden ejecutiva encargó a la NTIA definir el alcance de un programa SBOM para su uso en la contratación federal. La NTIA cumplió con la emisión de un informe de orientación y requisitos de la SBOM el 12 de julio.
"Un SBOM es un registro formal que contiene los detalles y las relaciones de la cadena de suministro de varios componentes utilizados en la creación de software", según la NTIA. La teoría del riesgo adjunta a los SBOM es que cuanto más sepa un usuario o cliente de software sobre los componentes básicos de un producto o servicio de software (los elementos), más capaz será el usuario de detectar las vulnerabilidades asociadas con cada elemento.
"Aunque un SBOM no resolverá todos los problemas de seguridad del software, ofrece el potencial para rastrear vulnerabilidades y riesgos conocidos recientemente surgidos, y puede formar una capa de datos fundamental sobre la cual se pueden construir más herramientas, prácticas y garantías de seguridad", dijo Allan Friedman, director de iniciativas de ciberseguridad de la NTIA.
Sensación de urgencia
En la Orden Ejecutiva, el gobierno sostuvo que tales divulgaciones faltan en el proceso federal de adquisición de TI, y existe una “necesidad urgente” de remediar la situación.
“El desarrollo de software comercial a menudo carece de transparencia, suficiente enfoque en la capacidad del software para resistir ataques y controles adecuados para evitar la manipulación por parte de actores malintencionados”, dijo la EO.
La naturaleza prescriptiva detallada de la EO puede, a primera vista, parecer un ejercicio de meterse demasiado en la maleza de la adquisición de TI federal.
Sin embargo, Eric Byres, fundador y director de tecnología de Adolus, un proveedor de servicios de seguridad de software, dijo en una publicación de blog que "Comenzaré con la observación de que asegurar la cadena de suministro de software es posiblemente el enfoque principal de esta orden ejecutiva". Al señalar el impacto de la reciente violación de la tecnología de la información federal por parte de Solar Winds, "ese tipo de estragos generalizados sin duda marcará el tono de esta EO", dijo.
En sus comentarios a la NTIA antes de la publicación del documento SBOM por parte de la agencia el 12 de julio, la Asociación de Internet (IA) apoyó el esfuerzo, pero dijo que si bien el enfoque de la NTIA puede tener sentido para el software convencional que se ejecuta en las instalaciones del cliente, “no lo hace suficientemente tener en cuenta algunos de los elementos únicos inherentes a los servicios en la nube ".
IA razonó que los mecanismos de entrega 'como servicio' "presentan un caso de uso diferente", y agregó que dado que la base del código cambia a un ritmo rápido con las implementaciones en la nube, tales referencias pueden volverse obsoletas "casi de inmediato". IA instó a la NTIA a abordar este problema utilizando la herramienta de adquisición en la nube del gobierno existente llamada FedRAMP para incorporar los protocolos SBOM.
“Los SBOM son una herramienta importante para mejorar la transparencia, pero no deben malinterpretarse como un mecanismo para mejorar las prácticas de desarrollo de software seguro. Es importante destacar que la NTIA no debe intentar resolver todo el complejo desafío de seguridad de la cadena de suministro a través de SBOM, sino que debe centrarse en hacerlos viables manteniendo sus elementos mínimos lo más simples posible ”, dijo John Miller, vicepresidente senior de políticas y asesor general de ITI.
La NTIA debería considerar las protecciones SBOM como solo un aspecto de un enfoque “holístico” de los problemas de seguridad cibernética, dijo ITI en sus comentarios a la NTIA.
Mucho que discutir
Más específicamente, ITI adoptó una visión cautelosa sobre la estandarización de ciertos aspectos de la seguridad, incluidas las referencias a vulnerabilidades de exposición comunes (CVE) utilizadas para identificar fallas de seguridad porque “no todos los proveedores tienen el mismo modelo comercial o los mismos mecanismos para proporcionar información sobre vulnerabilidades en el software . "
Si bien el enfoque de la NTIA prevé el uso de SBOM en la contratación federal, dentro de un año, la implementación podría involucrar más diálogo. La Asociación de Internet señaló que, si bien la NTIA no abordó específicamente sus preocupaciones sobre "como servicio" y las implementaciones basadas en la nube, "la intención de abordarlas en el futuro es alentadora". NTIA dejó la puerta abierta para más discusión a través de un proceso iterativo.
En una declaración proporcionada al E-Commerce Times por la portavoz Christina Martin, IA señaló que "hubo un llamado a la cooperación pública y privada continua" en la NTIA y Instituto Nacional de Estándares y Tecnología (NIST), especialmente en lo que se refiere a la aplicación de estándares de verificación de desarrolladores y SBOM a servicios basados en la nube.
El aporte de la industria “será especialmente importante para cualquier cambio en el FAR o en los procesos de adquisiciones, por lo que esperamos que se siga el proceso de comentarios públicos que se usa típicamente para los cambios en el FAR”, dijo IA.
“Nos alienta que la NTIA haya indicado que continuará involucrando a las partes interesadas de la industria y se basará en el proceso para definir los elementos críticos de una lista de materiales de software. Esperamos trabajar con ellos en este esfuerzo ”, dijo Courtney Lang, directora senior de políticas de ITI al E-Commerce Times.
Independientemente de la dirección que tome el gobierno de los EE. UU. Con respecto a los problemas de seguridad del software relacionados con SBOM, el programa ya está teniendo un impacto en el sector privado.
A corto plazo, el informe de julio de 2021 de la NTIA "será el documento definitivo para las regulaciones federales", dijo Byres. “Pero será reemplazado rápidamente por mejoras impulsadas por el mercado. Ahora que el gobierno federal ha puesto en marcha la bola de SBOM, estamos viendo numerosas empresas grandes que también exigen SBOM a sus proveedores ”, dijo al E-Commerce Times.
Fuente: http://www.ecommercetimes.com/story/87224.html?rss=1
- "
- 2021
- Mi Cuenta
- adquisición
- Todos
- Alliance
- American
- ataques
- Biden
- Bill
- Blog
- tablero
- incumplimiento
- build
- Construir la
- modelo de negocio
- negocios
- llamar al
- Campañas
- Carreras
- Reto
- cargado
- jefe
- Director de Tecnología
- las libertades civiles
- Soluciones
- servicios en la nube
- TECNOLOGÍA EN LA NUBE
- código
- comentarios
- Locales
- completo
- Algunos
- Comunidades
- Empresas
- continue
- contrato
- Consejo
- ciber
- La Ciberseguridad
- datos
- entrega
- Detección
- Developer
- Desarrollo
- Director
- DIVULGACIONES
- documentos
- comercio electrónico
- ejecutivos
- orden ejecutiva
- Haz ejercicio
- caras
- Federal
- Gobierno federal
- Nombre
- defectos
- Focus
- formulario
- adelante
- fundador
- freelance
- futuras
- General
- gif
- Buscar
- Goals
- Gobierno
- Grupo procesos
- HTTPS
- ia
- Identifique
- Impacto
- Incluye
- energético
- información
- tecnología de la información
- Iniciativa
- instituciones
- Internet
- Inversiones
- involucra
- emisión
- cuestiones
- IT
- periodista
- Julio
- acuerdo
- large
- gran
- Realizar
- materiales
- modelo
- del sistema,
- noticias
- Ofertas
- Oficial
- habiertos
- solicite
- política
- presente
- presidente
- política de privacidad
- privada
- Producto
- Productos
- Programa
- Programas
- Protección
- Cobertura
- público
- publicaciones
- RE
- Regulación
- reglamentos
- Relaciones
- reporte
- molécula indicadora
- una estrategia SEO para aparecer en las búsquedas de Google.
- Riesgo
- correr
- Safety
- EN LINEA
- herramientas de seguridad
- sentido
- Sensación de urgencia
- Servicios
- set
- En Corto
- sencillos
- So
- Software
- Desarrollo de software ad-hoc
- seguridad de software
- solar
- RESOLVER
- portavoz
- estándares de salud
- comienzo
- Posicionamiento
- Zonas
- proveedores
- suministro
- cadena de suministro
- Soportado
- Tecnología
- Sector tecnológico
- telecomunicaciones
- El futuro de las
- La Iniciativa
- seguir
- Seguimiento
- Transparencia
- de transporte
- nosotros
- Del gobierno de EE.UU.
- United
- Estados Unidos
- us
- vendedores
- Verificación
- Vice Presidenta
- Ver
- Vulnerabilidades
- dentro de
- escritor
- año