El gobierno de EE. UU. se está moviendo rápida y agresivamente para abordar las vulnerabilidades de seguridad cibernética que afectan tanto al gobierno federal como al sector privado.
En una orden ejecutiva (EO) de gran alcance, el presidente Joseph Biden ordenó a las agencias federales que establezcan múltiples programas diseñados para mitigar los tipos de ataques de seguridad cibernética recientes que han ganado la atención nacional.
El sector de la tecnología de la información, incluidas las empresas que están directa o indirectamente involucradas en el suministro de productos y servicios de TI al gobierno federal, se verá especialmente afectado por las disposiciones de la «Orden ejecutiva sobre la mejora de la ciberseguridad de la nación» de Biden.
Estados Unidos “enfrenta campañas cibernéticas maliciosas persistentes y cada vez más sofisticadas”, declaró el presidente cuando emitió la EO el 12 de mayo de 2021. “Las mejoras incrementales no nos darán la seguridad que necesitamos; en cambio, el gobierno federal necesita hacer cambios audaces e inversiones significativas para defender las instituciones vitales que sustentan el estilo de vida estadounidense”, dijo.
Tabla de Contenidos
Plan adopta múltiples mecanismos cibernéticos
La EO estableció varios objetivos para mejorar la ciberseguridad dentro del gobierno federal, incluido el fortalecimiento de los estándares y el refuerzo de la detección. La directiva también exige mejorar el intercambio de información cibernética entre el gobierno y las empresas, y el establecimiento de una Junta de Revisión de Seguridad Cibernética, siguiendo el modelo de la Junta Nacional de Seguridad en el Transporte.
En general, las comunidades empresariales y de TI apoyaron el plan de Biden, pero principalmente en el contexto de que la EO era un primer paso y requeriría una contribución significativa del sector privado. Aaron Cooper, vicepresidente de política global de BSA | Software Alliance dijo que el grupo estaba «impresionado por la amplitud y la audacia de esta orden ejecutiva», al tiempo que señaló que BSA estaba abierta «a trabajar con la Administración en la implementación y promover prácticas de seguridad de software tanto dentro como fuera del gobierno».
De manera similar, Jason Oxman, presidente del Consejo de la Industria de la Tecnología de la Información (ITI, por sus siglas en inglés) aplaudió la iniciativa y señaló que su organización anticipa colaborar con la Administración para mejorar la seguridad “mientras minimiza cualquier impacto potencial en la privacidad, las libertades civiles y la competitividad de los EE. UU. ”
El seguimiento de software despierta la atención del proveedor
Es importante destacar que la iniciativa requería la emisión de un documento que describiera los «elementos mínimos» de una Lista de materiales de software (SBOM) que las agencias federales pueden usar para garantizar la protección cibernética en la contratación con proveedores para la adquisición de productos y servicios de TI.
La EO tenía como objetivo incorporar un esquema de protección SBOM en las adquisiciones de contratos federales de TI y tecnología operativa (OT) dentro de un año, a través del proceso de regulación de adquisición federal (FAR).
Es probable que ese impacto en las adquisiciones haya impulsado la presentación de más de 80 comentarios a la Administración Nacional de Telecomunicaciones e Información (NTIA), una agencia dentro del Departamento de Comercio. La orden ejecutiva encargó a la NTIA definir el alcance de un programa SBOM para su uso en la contratación federal. La NTIA cumplió con la emisión de un informe de orientación y requisitos de SBOM el 12 de julio.
“Un SBOM es un registro formal que contiene los detalles y las relaciones de la cadena de suministro de varios componentes utilizados en la creación de software”, según la NTIA. La teoría del riesgo adjunta a los SBOM es que cuanto más sepa un usuario o cliente de software sobre los componentes básicos de un producto o servicio de software (los elementos), más capaz será el usuario de detectar vulnerabilidades asociadas con cada elemento.
“Aunque un SBOM no resolverá todos los problemas de seguridad del software, ofrece el potencial para rastrear vulnerabilidades y riesgos conocidos recientemente surgidos, y puede formar una capa de datos fundamental sobre la cual se pueden construir más herramientas, prácticas y garantías de seguridad”, dijo. Allan Friedman, Director de Iniciativas de Ciberseguridad de la NTIA.
Sensación de urgencia
En la Orden Ejecutiva, el gobierno sostuvo que tales divulgaciones están muy ausentes en el proceso federal de adquisición de TI, y existe una «necesidad apremiante» de remediar la situación.
“El desarrollo de software comercial a menudo carece de transparencia, un enfoque suficiente en la capacidad del software para resistir ataques y controles adecuados para evitar la manipulación por parte de actores malintencionados”, dijo el EO.
La naturaleza prescriptiva detallada de la EO puede, a primera vista, parecer un ejercicio de meterse demasiado en la maleza de la adquisición federal de TI.
Sin embargo, Eric Byres, fundador y director de tecnología de Adolus, un proveedor de servicios de seguridad de software, dijo en una publicación de blog que «Comenzaré con la observación de que asegurar la cadena de suministro de software es posiblemente el enfoque principal de esta orden ejecutiva». Al señalar el impacto de la reciente brecha de Solar Winds en la TI federal, «ese tipo de caos generalizado seguramente marcará el tono de esta EO», dijo.
En sus comentarios a la NTIA antes de la publicación del documento SBOM por parte de la agencia el 12 de julio, la Asociación de Internet (IA) apoyó el esfuerzo, pero dijo que si bien el enfoque de la NTIA puede tener sentido para el software convencional que se ejecuta en las instalaciones del cliente, «no en cuenta algunos de los elementos únicos inherentes a los servicios en la nube”.
IA razonó que los mecanismos de entrega ‘como servicio’ «presentan un caso de uso diferente», y agregó que dado que la base del código cambia a un ritmo rápido con las implementaciones en la nube, tales referencias pueden volverse obsoletas «casi inmediatamente». IA instó a la NTIA a abordar este problema utilizando la herramienta de adquisiciones en la nube del gobierno existente llamada FedRAMP para incorporar los protocolos SBOM.
“Los SBOM son una herramienta importante para mejorar la transparencia, pero no deben malinterpretarse como un mecanismo para mejorar las prácticas de desarrollo de software seguro. Es importante destacar que la NTIA no debe tratar de resolver todo el complejo desafío de seguridad de la cadena de suministro a través de los SBOM, sino que debe centrarse en hacerlos viables al mantener sus elementos mínimos lo más simples posible”, dijo John Miller, vicepresidente sénior de política y asesor general de ITI.
La NTIA debería considerar las protecciones de SBOM como solo un aspecto de un enfoque «holístico» de los problemas de seguridad cibernética, dijo ITI en sus comentarios a la NTIA.
mucho que discutir
Más específicamente, ITI adoptó una visión cautelosa sobre la estandarización de ciertos aspectos de la seguridad, incluidas las referencias a vulnerabilidades de exposición comunes (CVE) utilizadas para identificar fallas de seguridad porque “no todos los proveedores tienen el mismo modelo comercial o los mismos mecanismos para proporcionar información sobre vulnerabilidades en el software. .”
Si bien el enfoque de la NTIA contempla el uso de SBOM en la contratación federal, dentro de un año, la implementación bien podría implicar más diálogo. La Asociación de Internet señaló que si bien la NTIA no abordó específicamente sus preocupaciones sobre las implementaciones «como servicio» y basadas en la nube, «la intención de abordarlas en el futuro es alentadora». La NTIA dejó la puerta abierta para una mayor discusión a través de un proceso iterativo.
En una declaración proporcionada al E-Commerce Times por la portavoz Christina Martin, IA señaló que «hubo un llamado a la cooperación pública y privada continua» en los documentos de la NTIA y el Instituto Nacional de Estándares y Tecnología (NIST), especialmente en lo que se refiere a la aplicación de SBOM. y estándares de verificación de desarrolladores para servicios basados en la nube.
Los aportes de la industria «serán especialmente importantes para cualquier cambio en las FAR o en los procesos de adquisición, por lo que esperamos que se siga el proceso de comentarios públicos que normalmente se usa para los cambios en las FAR», dijo IA.
“Nos alienta que la NTIA haya indicado que continuará involucrando a las partes interesadas de la industria y se basará en el proceso para definir los elementos críticos de una Lista de materiales de software. Esperamos trabajar con ellos en este esfuerzo”, dijo Courtney Lang, directora sénior de políticas de ITI al E-Commerce Times.
Independientemente de la dirección que tome el gobierno de EE. UU. con respecto a los problemas de seguridad del software relacionados con SBOM, el programa ya está teniendo un impacto en el sector privado.
A corto plazo, el informe de julio de 2021 de la NTIA “será el documento definitivo para las regulaciones federales”, dijo Byres. “Pero pronto será reemplazado por mejoras impulsadas por el mercado. Ahora que el gobierno federal ha puesto en marcha el SBOM, estamos viendo numerosas empresas grandes que también exigen SBOM a sus proveedores”, dijo al E-Commerce Times.
