LAS VEGAS—Dos funcionarios del gobierno vinieron a Black Hat aquí esta semana con algunos consejos de seguridad que son mucho más específicos que los puntos de discusión de alto nivel que los asistentes podrían haber esperado que salieran de Washington.
Entre los consejos prácticos ofrecidos por Bob Lord y Jack Cable, ambos asesores técnicos sénior de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), a los proveedores de tecnología:
-
Cambie a escribir software en lenguajes seguros para la memoria que resistan ataques de desbordamiento de búfer;
-
Proporcione una lista de materiales de software para cada versión para que no haya misterio sobre sus componentes y bibliotecas;
-
Mantener una política de divulgación de vulnerabilidades con puerto seguro legal para investigadores de seguridad;
-
Elimine las contraseñas predeterminadas que los usuarios nunca pueden cambiar;
-
Ofrezca inicio de sesión único sin costo adicional en lugar de cobrar extra por cada usuario que emplee esta opción de autenticación más segura;
-
Proporcione autenticación de múltiples factores para garantizar que el compromiso de una contraseña no resulte en la pérdida de una cuenta;
-
Ofrezca registros de auditoría de alta calidad sin cargo adicional;
-
Haga obsoleto el concepto de una «guía de endurecimiento» que les diga a los clientes cómo bloquear el producto asegurándose de que esté seguro desde el primer momento.
Este consejo se produjo como parte del esfuerzo Secure By Design de CISA, en el que esa agencia está tratando de fomentar la adopción de las mejores prácticas de seguridad por parte de los proveedores de tecnología para que los clientes ya no se queden con sus propias listas de tareas pendientes de seguridad.
“Queremos que sean dueños de los resultados de seguridad para su producto”, dijo Cable. “Donde sea que se implemente, por defecto, por diseño, es seguro”.
Los instó a practicar la «transparencia y responsabilidad radicales», y agregó que esto no solo significa aclarar las fallas, sino también celebrar las victorias en seguridad, y construir estructuras organizacionales que consagren la seguridad como una prioridad de alto nivel en lugar de relegarla a un CISO. . “La seguridad debe ser vista como una prioridad, porque si no lo es, la velocidad de comercialización siempre gana”, dijo Cable.
Lord comparó el estado actual de las cosas con la forma en que el gobierno dejó gran parte de la seguridad de los automóviles en manos de los fabricantes individuales hace décadas. El título del informe, «Inseguro a cualquier velocidad: el plan de CISA para fomentar la seguridad del ecosistema tecnológico», evoca el libro de Ralph Nader de 1965 que denuncia las prácticas de Detroit.
Aconsejó a los desarrolladores e ingenieros que recuerden que su trabajo será utilizado por personas sin su formación técnica o experiencia, y dijo: «queremos que piensen en lo que realmente está sucediendo en el campo».
Lord dijo que el enfoque seguro debe ser como un camino bien iluminado, no algo que los usuarios tengan que navegar por su cuenta. “Queremos que esos caminos bien iluminados sean ubicuos”, dijo. «Cómo hacemos eso, vamos a necesitar su ayuda».
Lord ha visto lo que puede suceder cuando una organización deja demasiado a la atención y la buena voluntad de los empleados, habiendo trabajado como CISO en el Comité Nacional Demócrata y en Yahoo después de que cada uno sufriera hackeos masivos.
Recomendado por Nuestros Editores
Los dos señalaron que el gobierno no solo habla con los proveedores de tecnología, sino que también los escucha: el jueves por la mañana, un grupo de agencias, incluidas CISA, la Fundación Nacional de Ciencias (NSF) y la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA), anunciaron una solicitud de información en busca de comentarios sobre cómo los federales pueden fomentar la adopción de lenguajes seguros para la memoria y mejorar la seguridad del software de código abierto.
Ese anuncio y esta charla de Black Hat siguen meses de trabajo de la administración Biden para fortalecer la postura de seguridad cibernética del país. La Casa Blanca impuso requisitos más estrictos a los contratistas de TI del gobierno, estableció una Junta de Revisión de Seguridad Cibernética siguiendo el modelo de la Junta Nacional de Seguridad en el Transporte para investigar fallas a nivel de sistema como la vulnerabilidad Log4j, y lanzó una etiqueta de seguridad voluntaria «Marca de Confianza Cibernética». programa para dispositivos de Internet de las Cosas.
El miércoles en Black Hat, DARPA se sumó a esa agenda al anunciar un concurso AI Cyber Challenge, con casi $ 20 millones en premios, para encontrar formas de usar herramientas de IA para mejorar la seguridad del software y la infraestructura existentes.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.