LAS VEGAS–Hace seis meses, el gobierno federal estableció una nueva oficina y le asignó una primera tarea difícil: informar sobre la respuesta público-privada a la vulnerabilidad Log4j que dejó a una gran fracción de la web vulnerable a compromisos remotos.
En un panel de discusión el miércoles en la conferencia de seguridad de la información Black Hat aquí, el presidente y el vicepresidente de la junta compartieron las principales lecciones aprendidas de ese esfuerzo, comenzando con una disposición bienvenida entre los tipos de la industria para hablar con una organización gubernamental.
«Creo que lo que sorprendió a mucha gente fue lo profundo que podía llegar la investigación», Junta de Revisión de Seguridad Cibernética(Se abre en una nueva ventana) El presidente (y subsecretario de políticas del Departamento de Seguridad Nacional), Robert Silvers, le dijo al moderador del panel y fundador de Black Hat, Jeff Moss. «De hecho, creamos un resumen fáctico de cómo el proceso de divulgación de vulnerabilidades de Log4J, la respuesta, se vino abajo».
La copresidenta Heather Adkins, vicepresidenta de ingeniería de seguridad de Google, señaló lo mismo y se describió a sí misma como «muy gratamente sorprendida» de que más de 80 organizaciones e investigadores de seguridad hablaran con la junta para el informe de 52 páginas.(Se abre en una nueva ventana) (PDF) se publicó en julio. «Incluso escuchamos de la República Popular China».
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) inauguró la junta de 15 miembros en febrero, siguiendo una directiva en la orden ejecutiva sobre seguridad de la información.(Se abre en una nueva ventana) que el presidente Biden emitió en mayo de 2021. Se basa aproximadamente en el modelo de la Junta Nacional de Seguridad en el Transporte, con el objetivo de brindar transparencia a un campo en el que los objetivos de los ataques a menudo se han retirado.(Se abre en una nueva ventana) en un vago silencio sobre lo que salió mal.
«Hasta que se creó la CSRB, realmente no había nadie cuyo trabajo fuera convocar a 80 empresas e investigadores de seguridad diferentes», dijo Silvers. «Nuestro cargo era, averigüemos qué sucedió solo para que la comunidad pueda saber».
Él y Adkins felicitaron a organizaciones como el gigante chino del comercio electrónico Alibaba y la Apache Software Foundation de código abierto por apresurarse a parchear la vulnerabilidad en Log4j (las personas también se refieren a esta «vuln» como Log4Shell o CVE-2021-44228(Se abre en una nueva ventana)). Millones de sitios utilizan esa biblioteca Java de código abierto desarrollada por Apache para registrar sus actividades, pero una falla no descubierta permitió a los atacantes explotarla de forma remota para ejecutar código arbitrario en esos servidores.
Pero el hecho de que tantas organizaciones se apresuraran a lanzar parches mientras los sitios se apresuraban a instalarlos, «esta puede haber sido la respuesta cibernética a gran escala más grande de la historia», dijo Silvers, causó nuevas complicaciones.
«Hubo algunas iteraciones del parche. Definitivamente descubrimos que esto indujo algo de fatiga por el parche», dijo. CISA intentó aliviar esta fatiga publicando un repositorio de GitHub(Se abre en una nueva ventana) de paquetes vulnerables a Log4j.
Adkins, a su vez, comentó que tener estas correcciones «realizadas abiertamente» inevitablemente hizo que algunos atacantes fueran más conscientes de la vulnerabilidad: «Empezamos a ver publicaciones en WeChat en China, hablando de esta versión candidata que tiene esta corrección».
Alibaba informar públicamente de la vulnerabilidad sin notificar primero al gobierno chino también llevó a Beijing a castigar a la empresa.(Se abre en una nueva ventana).
Recomendado por Nuestros Editores
Y aunque los primeros exploits pueden haber consistido simplemente en husmear por los piratas informáticos, a eso le siguieron instalaciones remotas de software de minería de criptomonedas, la venta de kits de exploits y luego el uso por parte de atacantes del estado-nación.
«¿Cómo construimos un ecosistema de software donde las cosas pueden suceder rápidamente?» ella preguntó. «¿Cómo hacemos que el conocimiento del error sea algo irrelevante?»
El resto del panel se centró en cómo la junta y la industria en general podrían hacer que eso sucediera. Adkins respaldó medidas para ayudar a las fundaciones de código abierto a capacitar a los desarrolladores y auditar el código que podría hacer que el esfuerzo del grupo detrás de estos proyectos sea más efectivo.
Como ella lo expresó: «Estamos algo esquiando sobre una buena avalancha de apoyo entre la comunidad».
Silvers dijo que el gobierno debería exigir transparencia de software a los proveedores, lo que incluye proporcionar una lista de materiales de software (SBOM, pronunciado «s-bomba») para los entregables. «La junta cree totalmente en el concepto SBOM, pero tiene que evolucionar», dijo. «Tienes que saber qué tienes y dónde».
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.