El mes pasado, la Casa Blanca publicó la Estrategia Nacional de Ciberseguridad de la Administración Biden. El documento de casi 40 páginas identifica cinco pilares clave para hacer frente a las demandas, retos y amenazas de seguridad del futuro.
En gran medida, la estrategia pretende alinear los sectores público, privado y gubernamental en torno a las innovaciones en materia de seguridad, con la esperanza de elevar el listón normativo de la seguridad, fomentar la seguridad por diseño y situar a Estados Unidos en una posición que le permita prosperar en un mundo post-cuántico.
Para analizar el documento, nos sentamos con Ted Shorter, Director Técnico de Keyfactor , Tomas Gustavsson, Director de PKI, y David Hook, Vicepresidente de Ingeniería de Software , para una rápida sesión de preguntas y respuestas.
¿Cuál es su impresión de la estrategia? ¿Alguna idea general?
Ted Shorter: En mi opinión, hay muchas cosas que me gustan de esta estrategia. Fomentar una mejor colaboración entre los sectores público y privado será vital, y la intención del informe de hacer la seguridad más asequible es un paso en la buena dirección.
La estrategia pretende fomentar la colaboración entre los sectores gubernamental, público y privado. ¿Cómo podría ser esto en la práctica?
Ted Shorter: Los ciberdelincuentes y los actores hostiles del Estado-nación pueden atacar infraestructuras a gran escala, y los silos entre lo público y lo privado dificultarán nuestra capacidad para reconocer y comprender estos ataques, así como para responder a ellos.
Para que quede claro, no es una lucha justa cuando entidades privadas se defienden de agentes de un Estado-nación. Ciertamente no es una lucha justa cuando real munición y armamento reales, y no es más justa una lucha con ciberataques.
Es más fácil decirlo que hacerlo, pero los sectores público y privado necesitan mejores formas de compartir información crítica. En la actualidad, los responsables de seguridad del sector privado suelen desanimarse a la hora de compartir información sobre ataques por miedo a multas, mala prensa, etc.
¿Cómo puede afectar al mundo empresarial el trabajo del Gobierno para modernizar los sistemas federales de TI/OT?
Ted Shorter: Esta actividad allanará el camino para la regulación de la seguridad en un conjunto de dispositivos mucho más amplio que el actual, lo cual es positivo. Cuando todo el mundo juegue con las mismas reglas de seguridad, los fabricantes de dispositivos no tendrán que preocuparse por el gasto relativo en seguridad de sus dispositivos.
La advertencia, por supuesto, es que esta normativa deberá aplicarse en todo el mundo porque los aparatos se fabrican en todas partes. De lo contrario, las normas no tendrán mucho efecto.
¿Cómo se integrará esta estrategia en las prácticas de desarrollo seguro de software , especialmente a medida que siga aumentando el volumen de identidades de máquinas?
Tomas Gustavsson: Aquí están pasando muchas cosas. Software los equipos de desarrollo deben desarrollar nuevas soluciones teniendo en cuenta la seguridad desde el principio. En cuanto a las identidades de las máquinas, las credenciales codificadas o guardadas en repositorios de código deben eliminarse y protegerse mucho mejor.
Aunque las identidades de producto no forman parte necesariamente del ciclo de vida de desarrollo de software , el propio proceso de desarrollo puede consumir varios certificados. Las máquinas y las API necesitan una autenticación fuerte, los desarrolladores necesitan certificados SSH y certificados de firma, y el código se firma en diferentes etapas, lo que exige certificados de firma de código y una fuerte protección de las claves privadas.
En una arquitectura de confianza cero, todo el flujo de código y comunicación de extremo a extremo necesita una PKI moderna, escalable y basada en API.
¿Alguna de las recientes infracciones relacionadas con los certificados ilustra especialmente la necesidad de contar con prácticas de desarrollo seguras en software ?
Tomas Gustavsson: En la reciente brecha de GitHub, los atacantes descargaron claves de firma de código que estaban almacenadas en el repositorio de código, lo que pone de relieve la necesidad de mantener separados el código y las claves.
En este caso concreto, las claves estaban cifradas y no hay pruebas de que el atacante consiguiera descifrarlas, pero aun así, les puso innecesariamente nerviosos. Seguir las mejores prácticas y utilizar sistemas externos (HSM) para cifrar las claves les habría evitado un lío en su investigación.
A las organizaciones que deseen adoptar prácticas de desarrollo seguras, les recomendaría tres consejos:
- Estudie las mejores prácticas y directrices de los líderes del sector y organismos gubernamentales como NIST y ENISA.
- Nunca guarde el código y las credenciales en el mismo lugar.
- Mantener los sistemas actualizados y adoptar arquitecturas de confianza cero.
El Pilar 4 menciona la cuántica. Qué deben hacer ahora los responsables de seguridad para prepararse para el futuro?
David Hook: Los líderes deben preguntarse: "¿Qué necesito proteger?" y "¿Cómo lo protejo actualmente?".
El primero es importante porque los vectores de ataque están cambiando. Frente a técnicas como la recolección de datos, debemos apreciar que no todos los datos son iguales. Algunos datos sólo necesitan protección durante periodos cortos, mientras que otros necesitan protección durante mucho más tiempo. Los dirigentes deben dar prioridad a los datos que necesitan protección a largo plazo.
Responder a la segunda pregunta ha resultado más difícil de lo que parece. La mayoría de los sistemas tienen muchas piezas móviles, algunas de las cuales han sido trabajadas durante años por múltiples desarrolladores, que a menudo utilizan bibliotecas y herramientas de procedencia incierta. A falta de una lista de materiales adecuada en software , es probable que los responsables descubran que no todo se ha hecho como se ha documentado o afirmado.
La resistencia de la cadena de suministro no consiste sólo en confiar en que las infraestructuras críticas se mantendrán y recibirán apoyo, sino también en saber cómo se construyeron.
¿Qué papel desempeñará Keyfactor en el apoyo a las estrategias post-cuánticas?
David Hook: Aunque corresponde a organizaciones como el NIST patrocinar el desarrollo de algoritmos PQC, es nuestro trabajo convertir estos algoritmos en algo tangible y útil para la comunidad en general. Lo estamos haciendo activamente introduciendo algoritmos poscuánticos en Bouncy Castle y apoyando certificados poscuánticos para Keyfactor EJBCA y Keyfactor Command .
Keyfactor también ha tomado la delantera a la hora de asegurar la cadena de suministro. La transparencia que aporta open-source software puede ser una ventaja -sin duda ayuda a saber cómo se construyeron las cosas-, pero el eslabón que falta es el apoyo al usuario y la sostenibilidad. Bouncy Castle y EJBCA han encontrado un lugar en la infraestructura crítica de muchas organizaciones, y se hacen sostenibles y resistentes mediante el apoyo cuando esas organizaciones cuando lo necesitan.
A medida que la confianza digital se convierta en un objetivo más integral de los gobiernos, los organismos reguladores y las estrategias empresariales, Keyfactor seguirá haciendo que estos avances sean accesibles y procesables para los líderes de seguridad.
Más información
Para ver cómo el mundo empresarial está enfocando la gestión de la identidad de máquina y PKI, consulte Keyfactor2023 State of Machine Identity.