Pusieron en peligro una planta de tratamiento de agua de Florida, tomaron como rehenes los sistemas informáticos de un hospital, se infiltraron en organismos gubernamentales en el ataque de SolarWinds y cortaron uno de los mayores oleoductos de combustible de Estados Unidos. No cabe duda de que las entidades maliciosas, desde los grupos de amenazas patrocinados por el Estado hasta los hackers que viven en sótanos, son cada vez más sofisticadas y tienen cada vez más en su punto de mira nuestras infraestructuras críticas.
Afortunadamente, se ha despertado la conciencia de la importancia de modernizar la ciberseguridad de nuestras infraestructuras críticas, y ya era hora.
El 12 de mayo, el Presidente Biden firmó una Orden Ejecutiva (OE) para "mejorar la ciberseguridad de la nación y proteger las redes del gobierno federal." Esta OE llega poco después del reciente ataque de ransomware a Colonial Pipeline y de anteriores incidentes de ciberseguridad que afectaron a empresas desde SolarWinds a Microsoft.
Keyfactor elogia al Gobierno estadounidense por su rápida actuación para modernizar la ciberseguridad del Gobierno federal. Sin embargo, "la acción federal por sí sola no basta" y las órdenes ejecutivas sólo llegan hasta cierto punto. No se puede lograr una estrategia cohesiva sin una asociación y participación igualitarias del gobierno y la industria privada.
Este reconocimiento es un paso en la dirección correcta. Sin embargo, esta OE reconoce la realidad de que la mayor parte de "nuestras infraestructuras críticas nacionales son propiedad del sector privado y están gestionadas por él". Así que, aunque la Administración puede animar al sector privado a seguir la dirección del Gobierno federal, tiene que encontrar formas de fomentar e incentivar la participación del sector privado.
Como señala Gartner, "la criptografía es una infraestructura crítica para el negocio digital y, por tanto, requiere atención e inversión". Desglosemos las secciones más importantes de la OE en las que la criptografía desempeña un papel en la seguridad de nuestra nación para el futuro.
La arquitectura de confianza cero toma protagonismo
La Sección 3 de la OE establece órdenes para "Modernizar la Ciberseguridad del Gobierno Federal" y llama específicamente a avanzar en "servicios en la nube y Arquitectura de Confianza Cero". El gobierno federal incorporará pasos de migración siguiendo los estándares del Instituto Nacional de Estándares y Tecnología (NIST).
¿Qué tiene esto que ver con la criptografía y la identidad?
Tal y como se define en el documento NIST SP 800-207, la infraestructura de clave pública (PKI) es un componente esencial para lograr una arquitectura de confianza cero. De hecho, una encuesta ejecutiva mostró recientemente que el 96% de los líderes de seguridad de TI están de acuerdo en que la PKI y los certificados digitales son esenciales para la Confianza Cero.
La OE subraya que la Arquitectura de Confianza Cero "permite a los usuarios pleno acceso, pero sólo al mínimo que necesitan para realizar su trabajo". Un componente fundamental de la Arquitectura de Confianza Cero es la emisión y gestión de identidades digitales, tanto para humanos como para máquinas.
Sin embargo, la mayoría de las empresas se centran casi exclusivamente en las identidades humanas, sin abordar el creciente problema de la identidad de las máquinas. La realidad es que, si sabes que los usuarios autorizados solo utilizan máquinas o dispositivos autorizados, habrás reducido significativamente la huella de riesgo de violación.
La investigación demuestra que:
- El 55% de las organizaciones no dispone de suficiente personal de seguridad informática dedicado a su PKI.
- El 60% de las organizaciones no dispone de controles formales de acceso a las claves de firma de código
- El 40% de las organizaciones sigue utilizando hojas de cálculo para realizar un seguimiento manual de los certificados digitales.
Esta realidad deja un enorme agujero en la Arquitectura de Confianza Cero que hay que arreglar.
Confianza cero para las identidades de máquinas
Las prácticas actuales de gestión de certificados y PKI heredadas no pueden gestionar el ritmo y la escala de las identidades de sus máquinas. Para obtener una postura de confianza cero, las empresas están cambiando a la PKI en la nube como servicio y a las soluciones de gestión de claves SaaS para orquestar estas identidades a escala.
La visibilidad completa de cada clave digital y certificado es crucial para un plan de respuesta a incidentes ordenado y eficaz.
Las soluciones combinadas de Keyfactor y PrimeKey ofrecen a los clientes la garantía de que están emitiendo identidades seguras de máquinas que han sido sometidas a rigurosas pruebas conforme a las normas vigentes (por ejemplo, FIPS, NIST, Common Criteria).
Nuestra plataforma de criptoagilidad permite a las organizaciones inventariar fácilmente los certificados y claves en uso e identificar rápida y fácilmente aquellas claves de cifrado e identidades de máquinas que no son seguras o requieren mantenimiento o rotación.
Los casos de uso de PKI y los certificados van más allá de los casos de uso empresariales tradicionales. Las agencias federales y las industrias pueden utilizar los certificados para proteger los dispositivos conectados, desde los servidores y estaciones de trabajo tradicionales hasta los últimos dispositivos de IoT .
Veámoslo en la sección 4.
La seguridad de la cadena de suministro necesita criptoagilidad
La sección 4 se centra en la seguridad de los dispositivos conectados mediante "la mejora de la seguridad de la cadena de suministro Software ". La OE exigirá "a los desarrolladores que mantengan una mayor visibilidad de su software y que pongan a disposición del público los datos de seguridad."
Por ejemplo, exigirán al vendedor que facilite al comprador una lista de materiales (SBOM) de Software para cada producto directamente o publicándola en un sitio web público. La OE también crea un "programa piloto para crear una etiqueta del tipo "Energy Star", de modo que el gobierno -y el público en general- puedan determinar rápidamente si software se ha desarrollado de forma segura".
IoT La seguridad de la cadena de suministro se ha vuelto más seria. En diciembre de 2020, el gobierno de EE. UU. promulgó la Ley de Ciberseguridad IoT y, posteriormente, el NIST publicó la guía NISTIR 8259 sobre cómo los proveedores de IoT pueden implementar las mejores prácticas de seguridad, incluidos elementos como:
- Actualizaciones de firmware seguras mediante el uso de identidades y tecnologías de firma para limitar los ataques a la cadena de suministro.
- Creación de un identificador único por dispositivo
- Uso de hardware de confianza para el almacenamiento de claves criptográficas
- Registro y trazabilidad de las acciones y operaciones de seguridad en dispositivos y aplicaciones
- IoT los fabricantes deben proporcionar un SBOM completo para identificar los subcomponentes en los que podrían producirse vulnerabilidades
- Construir teniendo en cuenta la criptoagilidad para actualizar las raíces de confianza, los algoritmos o la longitud de las claves durante la vida útil del dispositivo.
Mientras que la Sección 3 avanza a pasos agigantados en la creación de redes de confianza cero, nosotros queremos hacer avanzar la confianza cero en la fabricación de la cadena de suministro. Llevamos tiempo hablando de la importancia de la fabricación de confianza cero porque la seguridad de la cadena de suministro carece de un conjunto completo y práctico de buenas prácticas.
Como suele decirse, "el dinero manda". La OE deja claro que hay que utilizar "el poder adquisitivo del Gobierno Federal para impulsar al mercado a incorporar la seguridad en todos los software desde la base". Una buena seguridad no se consigue por accidente, sino mediante un diseño deliberado y meditado.
No más patadas a la lata
La necesidad de proteger toda la cadena de suministro no es nueva en la industria de la seguridad, ya que tanto hardware como software las cadenas de suministro se han vuelto cada vez más complejas. Sin embargo, la protección de la cadena de suministro no es gratuita, y un efecto positivo de la Orden Ejecutiva es que las inversiones y las mejores prácticas en ciberseguridad se ven incentivadas por el gasto en contratación pública.
Hemos visto en otras iniciativas similares en todo el mundo, como la directiva NIS en la UE, que una iniciativa como esta tiene el potencial de llevar la seguridad a una posición más visible en la contratación. Esto obliga a incorporar la seguridad en la fase de diseño y permite que la contratación gaste en seguridad evitando soluciones de menor madurez en ciberseguridad.
Keyfactor y PrimeKey cuentan con una larga experiencia en la habilitación de identidades de máquinas y dispositivos directamente al inicio de la cadena de suministro. Desde la fabricación y gestión de esas identidades a lo largo de todo el ciclo de vida hasta la inclusión de actualizaciones OTA software protegidas contra integridad, y las renovaciones y revocaciones de identidad que requieren las redes de confianza cero.
Nuestro trabajo de base ya está hecho con normas y directrices técnicas como la NIST Guidance on Internet of Things Device Cybersecurity, y la industria está preparada para suministrar soluciones basadas en estas directrices.
¿Y ahora qué?
Aunque algunos vendedores han sugerido que debería haber "estrictas repercusiones financieras para cualquier empresa" que no cumpla la OE, las repercusiones no suelen ser el método más eficaz para incentivar la acción.
Tradicionalmente, la compra de software por parte del propio gobierno ha incentivado al sector privado a competir en precios. Incluir una buena seguridad en los productos y en la cadena de suministro requiere inversión y la política de compras del gobierno debe incentivar la inversión en seguridad en lugar de utilizar el modelo actual de compras basado principalmente en el precio más bajo.
Lo hemos visto muchas veces. Todo el mundo quiere certificaciones caras, pero nadie quiere pagarlas, lo que hace que sea más una exhibición que una realidad.
Tomemos como ejemplo FedRamp, un programa mencionado en esta OE.
FedRamp es un programa sólido para garantizar el cumplimiento de las normas gubernamentales por parte de los proveedores de servicios en la nube. Sin embargo, FedRamp se ha convertido en una costosa barrera para las nuevas tecnologías basadas en la nube que podrían servir al sector público para proteger los sistemas y ofrecer mejores soluciones de respuesta ante incidencias.
Cuando se implantan, estas certificaciones pueden convertirse rápidamente en un albatros tanto para la innovación como para la agilidad del gobierno federal.
Aún no hemos terminado de hablar de esto. Participe en una mesa redonda en la que analizaremos las secciones más importantes de la OE y responderemos a sus preguntas sobre el papel que desempeña la criptografía en la seguridad de nuestra nación de cara al futuro.
