Comprometieron una planta de tratamiento de agua en Florida, mantuvieron como rehenes sistemas de TI hospitalarios, se infiltraron en agencias gubernamentales en el ataque de SolarWinds y cortaron uno de los mayores oleoductos de EE. UU. No cabe duda de que las entidades maliciosas, desde grupos de amenazas patrocinados por estados hasta hackers aficionados, son cada vez más sofisticadas y atacan con mayor frecuencia nuestra infraestructura crítica.
Afortunadamente, ha habido una toma de conciencia sobre la importancia de modernizar la ciberseguridad en nuestra infraestructura crítica, y ya era hora.
El 12 de mayo, el presidente Biden firmó una Orden Ejecutiva (OE) para “mejorar la ciberseguridad de la nación y proteger las redes del gobierno federal”. Esta OE se produce poco después del reciente ataque de ransomware a Colonial Pipeline y de incidentes de ciberseguridad anteriores que afectaron a empresas desde SolarWinds hasta Microsoft.
Keyfactor elogia al gobierno de EE. UU. por su rápida acción para modernizar la ciberseguridad del gobierno federal. Sin embargo, “la acción federal por sí sola no es suficiente” y las órdenes ejecutivas tienen un alcance limitado. Una estrategia cohesiva no puede lograrse sin una asociación y participación equitativa entre el gobierno y la industria privada.
Este reconocimiento es un paso en la dirección correcta. Sin embargo, esta OE reconoce la realidad de que la mayor parte de “nuestra infraestructura crítica nacional es propiedad y está operada por el sector privado”. Así, aunque la administración puede alentar al sector privado a seguir la dirección del gobierno federal, necesita encontrar formas de fomentar e incentivar la participación del sector privado.
Como Gartner señala, “la criptografía es una infraestructura crítica para el negocio digital y, por lo tanto, requiere atención e inversión”. Analicemos las secciones más importantes de la OE donde la criptografía desempeña un papel en la seguridad de nuestra nación para el futuro.
La arquitectura de confianza cero cobra protagonismo
La Sección 3 de la OE establece directrices para “Modernizar la ciberseguridad del gobierno federal” y, específicamente, insta a avanzar en “los servicios en la nube y la arquitectura de confianza cero”. El gobierno federal incorporará pasos de migración siguiendo los estándares del Instituto Nacional de Estándares y Tecnología (NIST).
¿Qué relación tiene esto con la criptografía y la identidad?
Según se define en NIST SP 800-207, la infraestructura de clave pública (PKI) es un componente esencial para lograr una arquitectura de confianza cero. De hecho, una encuesta ejecutiva reciente mostró que el 96% de los líderes de seguridad de TI concuerdan en que la PKI y los certificados digitales son esenciales para la confianza cero.
La OE subraya que la arquitectura de confianza cero “permite a los usuarios acceso completo, pero solo al mínimo indispensable que necesitan para realizar sus tareas”. Un componente crítico para la arquitectura de confianza cero es la emisión y gestión de identidades digitales, tanto para humanos como para máquinas.
Sin embargo, la mayoría de las empresas se centran casi exclusivamente en las identidades humanas, sin abordar el creciente problema de la identidad de las máquinas. La realidad es que, si se sabe que los usuarios autorizados solo utilizan máquinas o dispositivos autorizados, se ha reducido significativamente la huella de riesgo de una brecha de seguridad.
Las investigaciones demuestran que:
- El 55 % de las organizaciones no cuenta con personal de seguridad de TI suficiente dedicado a su PKI
- El 60 % de las organizaciones carece de controles de acceso formales para las claves de firma de código
- El 40 % de las organizaciones aún utiliza hojas de cálculo para rastrear manualmente los certificados digitales
Esta realidad genera una brecha significativa en la arquitectura de confianza cero que debe corregirse.
Confianza Cero para identidades de máquinas
Las prácticas actuales de PKI heredadas y gestión de certificados no pueden gestionar el ritmo y la escala de sus identidades de máquinas. Para lograr una postura de confianza cero, las empresas están migrando a soluciones de PKI en la nube como servicio (Cloud PKI as-a-Service) y de gestión de claves SaaS para orquestar estas identidades a gran escala.
Una visibilidad completa de cada clave y certificado digital es crucial para un plan de respuesta a incidentes ordenado y eficaz.
Las soluciones combinadas de Keyfactor y PrimeKey ofrecen a los clientes la garantía de que están emitiendo identidades de máquinas seguras que han sido rigurosamente probadas según los estándares actuales (por ejemplo, FIPS, NIST, Common Criteria).
Nuestra plataforma de criptoagilidad permite a las organizaciones inventariar fácilmente los certificados y claves en uso e identificar de forma rápida y sencilla aquellas claves de cifrado e identidades de máquinas que no son seguras o que requieren mantenimiento o rotación.
Los casos de uso de PKI y certificados van más allá de los casos de uso empresariales tradicionales. Las agencias federales y las industrias pueden utilizar certificados para proteger dispositivos conectados, desde servidores y estaciones de trabajo tradicionales hasta los últimos dispositivos IoT.
Analicemos cómo se manifiesta esto en la sección 4.
La seguridad de la cadena de suministro requiere criptoagilidad
La sección 4 se centra en la seguridad de los dispositivos conectados mediante la “Mejora de la seguridad de la cadena de suministro de Software.” La Orden Ejecutiva (OE) exigirá a los “desarrolladores mantener una mayor visibilidad de su Software y hacer que los datos de seguridad estén disponibles públicamente.”
Por ejemplo, exigirán al proveedor que proporcione al comprador una Lista de Materiales de Software (SBOM) para cada producto directamente o publicándola en un sitio web público. La OE también crea un “programa piloto para crear un tipo de etiqueta “energy star” para que el gobierno – y el público en general – puedan determinar rápidamente si el Software se desarrolló de forma segura.”
La seguridad de la cadena de suministro de IoT se ha vuelto más crítica. En diciembre de 2020, el gobierno de EE. UU. promulgó la Ley de Ciberseguridad de IoT y, posteriormente, el NIST publicó la guía NISTIR 8259 sobre cómo los proveedores de IoT pueden implementar las mejores prácticas de seguridad, incluyendo aspectos como:
- Actualizaciones seguras de firmware mediante el uso de identidades y tecnologías de firma para limitar los ataques a la cadena de suministro
- Creación de un identificador único por dispositivo
- Uso de Hardware de confianza para el almacenamiento de claves criptográficas
- Registro y trazabilidad de las acciones y operaciones de seguridad en dispositivos y aplicaciones
- Los fabricantes de IoT deben proporcionar una SBOM completa para identificar subcomponentes donde puedan surgir vulnerabilidades
- Diseño con criptoagilidad en mente para actualizar las raíces de confianza, los algoritmos o las longitudes de clave durante la vida útil del dispositivo
Mientras que la Sección 3 logra grandes avances en la red de confianza cero (Zero Trust Networking), queremos impulsar la confianza cero en la fabricación de la cadena de suministro. Llevamos tiempo hablando de la importancia de la fabricación de confianza cero porque la seguridad de la cadena de suministro carece de un conjunto completo y práctico de mejores prácticas.
Como se suele decir, “el dinero habla.” La OE deja claro que se debe utilizar “el poder adquisitivo del Gobierno Federal para impulsar el mercado a integrar la seguridad en todo el Software desde cero.” Una buena seguridad no surge por accidente, sino por un diseño deliberado y bien pensado.
Fin a la postergación
La necesidad de proteger toda la cadena de suministro no es una novedad en la industria de la seguridad, ya que tanto las cadenas de suministro de Hardware como de Software se han vuelto cada vez más complejas. Sin embargo, la protección de la cadena de suministro no es gratuita, y un efecto positivo de la Orden Ejecutiva es que las inversiones y las mejores prácticas en ciberseguridad se incentivan mediante el gasto en adquisiciones.
Hemos observado en otras iniciativas similares a nivel mundial, como la directiva NIS en la UE, que una iniciativa de este tipo tiene el potencial de otorgar a la seguridad una posición más destacada en los procesos de adquisición. Esto obliga a integrar la seguridad desde la fase de diseño y permite que las adquisiciones se centren en la seguridad, evitando soluciones con una madurez de ciberseguridad inferior.
Keyfactor y PrimeKey cuentan con una vasta experiencia en la habilitación de identidades de máquinas y dispositivos directamente al inicio de la cadena de suministro. Esto abarca desde la fabricación y gestión de dichas identidades a lo largo de todo su ciclo de vida, hasta la inclusión de actualizaciones de Software OTA protegidas por integridad, así como las renovaciones y revocaciones de identidad requeridas por las redes de confianza cero.
Nuestra base de trabajo ya está establecida con estándares y directrices técnicas como la Guía del NIST sobre Ciberseguridad de Dispositivos del Internet de las Cosas, y la industria está preparada para ofrecer soluciones basadas en estas directrices.
¿Qué sigue?
Aunque algunos proveedores han sugerido que debería haber “repercusiones financieras estrictas para cualquier empresa” que incumpla la Orden Ejecutiva (OE), las repercusiones no suelen ser el método más eficaz para incentivar la acción.
La adquisición de Software por parte del propio gobierno ha incentivado tradicionalmente al sector privado a competir por el precio. Integrar una buena seguridad en los productos y la cadena de suministro requiere inversión, y la política de adquisición del gobierno debe incentivar la inversión en seguridad en lugar de utilizar el modelo actual de adquisición basado principalmente en el precio más bajo.
Lo hemos visto con frecuencia. Todos desean certificaciones costosas, pero nadie quiere pagarlas, lo que lo convierte más en una exhibición que en una realidad.
Tomemos como ejemplo FedRamp, un programa mencionado en esta OE.
FedRamp es un programa sólido para garantizar el cumplimiento de los estándares gubernamentales para proveedores de servicios en la nube. Sin embargo, FedRamp se ha convertido en una barrera costosa para nuevas tecnologías basadas en la nube que podrían beneficiar al sector público en la protección de sistemas y en la oferta de mejores soluciones de respuesta a incidentes.
Estas certificaciones pueden convertirse rápidamente en un lastre tanto para la innovación como para la agilidad del gobierno federal una vez implementadas.
¡Aún no hemos terminado de hablar de esto! Únase a una mesa redonda mientras desglosamos las secciones más importantes de la OE y respondemos a sus preguntas sobre el papel de la criptografía en la seguridad de nuestra nación para el futuro.
