El mes pasado, la Casa Blanca publicó la Estrategia Nacional de Ciberseguridad de la Administración Biden. El documento de casi 40 páginas identifica cinco pilares clave para satisfacer las demandas, desafíos y amenazas de seguridad del futuro.
En gran medida, la estrategia busca alinear los sectores gubernamental, público y privado detrás de las innovaciones en seguridad con la esperanza de elevar el listón regulatorio para la seguridad, fomentar la seguridad por diseño y posicionar a EE. UU. para prosperar en un mundo post-cuántico.
Para analizar el documento, nos sentamos con el CTO de Keyfactor Ted Shorter, el Director de PKI Tomas Gustavsson y el Vicepresidente de Ingeniería de Software David Hook para una breve sesión de preguntas y respuestas.
¿Cuál es su impresión de la estrategia? ¿Alguna reflexión general?
Ted Shorter: En mi opinión, hay mucho que destacar de esta estrategia. Fomentar una mejor colaboración entre los sectores público y privado será vital, y la intención del informe de hacer que la seguridad sea más asequible es un paso en la dirección correcta.
La estrategia busca fomentar la colaboración entre los sectores gubernamental, público y privado. ¿Cómo podría materializarse esto en la práctica?
Ted Shorter: Los ciberdelincuentes y los actores estatales hostiles pueden atacar la infraestructura a gran escala, y los silos entre el sector público y privado dificultarán nuestra capacidad para reconocer y comprender estos ataques, así como para responder a ellos.
Para ser claros, no es una lucha justa cuando las entidades privadas se defienden de actores estatales. Ciertamente no es una lucha justa cuando se utilizan municiones y armamentos reales, y no es más justa una lucha con ciberataques.
Es más fácil decirlo que hacerlo, pero los sectores público y privado necesitan mejores formas de compartir información crítica. Hoy en día, los líderes de seguridad del sector privado a menudo se desaniman de compartir información sobre ataques por temor a multas, mala prensa, etc.
¿Cómo podría el trabajo del gobierno para modernizar los sistemas federales de TI/OT afectar al mundo empresarial?
Ted Shorter: Esta actividad allanará el camino para regulaciones de seguridad en un conjunto de dispositivos mucho más amplio de lo que existe hoy en día, lo cual es algo positivo. Cuando todos operen bajo las mismas reglas de seguridad, los fabricantes de dispositivos no tendrán que preocuparse por el gasto relativo en seguridad de sus dispositivos.
La advertencia, por supuesto, es que estas regulaciones deberán aplicarse a nivel global porque los dispositivos se fabrican en todas partes. De lo contrario, los estándares no tendrán mucho efecto.
¿Cómo influirá esta estrategia en las prácticas de desarrollo de Software seguro, especialmente a medida que el volumen de identidades de máquinas sigue aumentando?
Tomas Gustavsson: Aquí hay mucho en juego. Los equipos de desarrollo de Software deben desarrollar nuevas soluciones teniendo en cuenta la seguridad desde el principio. En cuanto a las identidades de máquinas, las credenciales codificadas o las credenciales almacenadas en repositorios de código deben eliminarse y protegerse mucho mejor.
Si bien las identidades de productos no forman parte necesariamente del ciclo de vida del desarrollo de Software, el proceso de desarrollo en sí puede consumir una serie de certificados. Las máquinas y las API necesitan una autenticación sólida, los desarrolladores necesitan certificados SSH y certificados de firma, y el código se firma en diferentes etapas, lo que exige certificados de firma de código y una sólida protección de las claves privadas.
En una arquitectura de confianza cero, todo el flujo de código y comunicación de extremo a extremo simplemente requiere una PKI moderna, basada en API y escalable.
¿Algunas brechas recientes relacionadas con certificados ilustran particularmente la necesidad de prácticas de desarrollo de Software seguro?
Tomas Gustavsson: En la reciente brecha de GitHub, los atacantes descargaron claves de firma de código que estaban almacenadas en el repositorio de código, lo que subraya la necesidad de mantener el código y las claves separados.
En este caso específico, las claves estaban cifradas y no hay pruebas de que el atacante lograra descifrar las claves, pero aun así, generó un período de incertidumbre innecesaria. Seguir las mejores prácticas y utilizar sistemas externos (HSM) para las claves de firma de código les habría evitado tener que apresurarse en su investigación.
Para las organizaciones que buscan adoptar prácticas de desarrollo seguro, recomendaría tres consejos:
- Estudiar las mejores prácticas y directrices de líderes de la industria y agencias gubernamentales como NIST y ENISA.
- Nunca mantenga el código y las credenciales en el mismo lugar.
- Mantenga los sistemas actualizados y adopte arquitecturas de confianza cero.
El Pilar 4 menciona la computación cuántica. ¿Qué deberían hacer ahora los líderes de seguridad para prepararse para el futuro?
David Hook: Los líderes deberían preguntarse: ‘¿Qué necesito proteger?’ y ‘¿Cómo lo estoy protegiendo actualmente?’
Lo primero es importante porque los vectores de ataque están cambiando. Ante técnicas como la recolección de datos, debemos reconocer que no todos los datos son iguales. Algunos datos solo necesitan ser protegidos por períodos cortos, mientras que otros requieren protección por mucho más tiempo. Los líderes deben priorizar los datos que necesitan protección a largo plazo.
Responder a la segunda pregunta ha resultado más difícil de lo que parece. La mayoría de los sistemas tienen muchas partes móviles, algunas de las cuales han sido desarrolladas durante años por múltiples programadores, quienes a menudo utilizan bibliotecas y herramientas de procedencia incierta. A falta de una lista de materiales de Software adecuada, es probable que los líderes descubran que no todo se ha hecho como se ha documentado o afirmado.
La resiliencia de la cadena de suministro no se trata solo de tener la confianza de que la infraestructura crítica se mantendrá y recibirá soporte, sino también de saber cómo se construyeron.
¿Qué papel desempeñará Keyfactor en el apoyo a las estrategias post-cuánticas?
David Hook: Si bien recae en organizaciones como NIST patrocinar el desarrollo de algoritmos PQC, es nuestro trabajo convertir estos algoritmos en algo tangible y útil para la comunidad en general. Estamos haciendo esto activamente al introducir algoritmos post-cuánticos en Bouncy Castle y al dar soporte a certificados post-cuánticos para Keyfactor EJBCA y Keyfactor Command.
Keyfactor también ha asumido un papel de liderazgo en la seguridad de la cadena de suministro. La transparencia inherente al Software open-source puede ser una ventaja —sin duda, ayuda a comprender cómo se construyeron las cosas—, pero el eslabón perdido es el soporte al usuario y la sostenibilidad. Bouncy Castle y EJBCA han encontrado un lugar en la infraestructura crítica de muchas organizaciones, y se hacen sostenibles y resilientes mediante el soporte cuando esas organizaciones lo necesitan.
A medida que la confianza digital se convierte en un foco más integral para gobiernos, organismos reguladores y estrategias empresariales, Keyfactor seguirá haciendo que estos desarrollos sean accesibles y accionables para los líderes de seguridad.
Más información
Para ver cómo el mundo empresarial está abordando la gestión de identidades de máquinas y la PKI, consulte el informe de Keyfactor "Estado de la identidad de las máquinas 2023".
