\n<\/p>\n
LAS VEGAS\u2014Dos funcionarios del gobierno vinieron a Black Hat aqu\u00ed esta semana con algunos consejos de seguridad que son mucho m\u00e1s espec\u00edficos que los puntos de discusi\u00f3n de alto nivel que los asistentes podr\u00edan haber esperado que salieran de Washington. <\/p>\n
Entre los consejos pr\u00e1cticos ofrecidos por Bob Lord y Jack Cable, ambos asesores t\u00e9cnicos s\u00e9nior de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), a los proveedores de tecnolog\u00eda:<\/p>\n
Cambie a escribir software en lenguajes seguros para la memoria que resistan ataques de desbordamiento de b\u00fafer;<\/p>\n<\/li>\n
Proporcione una lista de materiales de software para cada versi\u00f3n para que no haya misterio sobre sus componentes y bibliotecas;<\/p>\n<\/li>\n
Mantener una pol\u00edtica de divulgaci\u00f3n de vulnerabilidades con puerto seguro legal para investigadores de seguridad;<\/p>\n<\/li>\n
Elimine las contrase\u00f1as predeterminadas que los usuarios nunca pueden cambiar;<\/p>\n<\/li>\n
Ofrezca inicio de sesi\u00f3n \u00fanico sin costo adicional en lugar de cobrar extra por cada usuario que emplee esta opci\u00f3n de autenticaci\u00f3n m\u00e1s segura;<\/p>\n<\/li>\n
Proporcione autenticaci\u00f3n de m\u00faltiples factores para garantizar que el compromiso de una contrase\u00f1a no resulte en la p\u00e9rdida de una cuenta;<\/p>\n<\/li>\n
Ofrezca registros de auditor\u00eda de alta calidad sin cargo adicional;<\/p>\n<\/li>\n
Haga obsoleto el concepto de una \u00abgu\u00eda de endurecimiento\u00bb que les diga a los clientes c\u00f3mo bloquear el producto asegur\u00e1ndose de que est\u00e9 seguro desde el primer momento.<\/p>\n<\/li>\n<\/ul>\n
Este consejo se produjo como parte del esfuerzo Secure By Design de CISA, en el que esa agencia est\u00e1 tratando de fomentar la adopci\u00f3n de las mejores pr\u00e1cticas de seguridad por parte de los proveedores de tecnolog\u00eda para que los clientes ya no se queden con sus propias listas de tareas pendientes de seguridad. <\/p>\n
\u201cQueremos que sean due\u00f1os de los resultados de seguridad para su producto\u201d, dijo Cable. \u201cDonde sea que se implemente, por defecto, por dise\u00f1o, es seguro\u201d.<\/p>\n
Los inst\u00f3 a practicar la \u00abtransparencia y responsabilidad radicales\u00bb, y agreg\u00f3 que esto no solo significa aclarar las fallas, sino tambi\u00e9n celebrar las victorias en seguridad, y construir estructuras organizacionales que consagren la seguridad como una prioridad de alto nivel en lugar de relegarla a un CISO. . \u201cLa seguridad debe ser vista como una prioridad, porque si no lo es, la velocidad de comercializaci\u00f3n siempre gana\u201d, dijo Cable.<\/p>\n
Lord compar\u00f3 el estado actual de las cosas con la forma en que el gobierno dej\u00f3 gran parte de la seguridad de los autom\u00f3viles en manos de los fabricantes individuales hace d\u00e9cadas. El t\u00edtulo del informe, \u00abInseguro a cualquier velocidad: el plan de CISA para fomentar la seguridad del ecosistema tecnol\u00f3gico\u00bb, evoca el libro de Ralph Nader de 1965 que denuncia las pr\u00e1cticas de Detroit.<\/p>\n
Aconsej\u00f3 a los desarrolladores e ingenieros que recuerden que su trabajo ser\u00e1 utilizado por personas sin su formaci\u00f3n t\u00e9cnica o experiencia, y dijo: \u00abqueremos que piensen en lo que realmente est\u00e1 sucediendo en el campo\u00bb. <\/p>\n
Lord dijo que el enfoque seguro debe ser como un camino bien iluminado, no algo que los usuarios tengan que navegar por su cuenta. \u201cQueremos que esos caminos bien iluminados sean ubicuos\u201d, dijo. \u00abC\u00f3mo hacemos eso, vamos a necesitar su ayuda\u00bb. <\/p>\n
Lord ha visto lo que puede suceder cuando una organizaci\u00f3n deja demasiado a la atenci\u00f3n y la buena voluntad de los empleados, habiendo trabajado como CISO en el Comit\u00e9 Nacional Dem\u00f3crata y en Yahoo despu\u00e9s de que cada uno sufriera hackeos masivos. <\/p>\n
Los dos se\u00f1alaron que el gobierno no solo habla con los proveedores de tecnolog\u00eda, sino que tambi\u00e9n los escucha: el jueves por la ma\u00f1ana, un grupo de agencias, incluidas CISA, la Fundaci\u00f3n Nacional de Ciencias (NSF) y la Agencia de Proyectos de Investigaci\u00f3n Avanzada de Defensa (DARPA), anunciaron una solicitud de informaci\u00f3n en busca de comentarios sobre c\u00f3mo los federales pueden fomentar la adopci\u00f3n de lenguajes seguros para la memoria y mejorar la seguridad del software de c\u00f3digo abierto.<\/p>\n
Ese anuncio y esta charla de Black Hat siguen meses de trabajo de la administraci\u00f3n Biden para fortalecer la postura de seguridad cibern\u00e9tica del pa\u00eds. La Casa Blanca impuso requisitos m\u00e1s estrictos a los contratistas de TI del gobierno, estableci\u00f3 una Junta de Revisi\u00f3n de Seguridad Cibern\u00e9tica siguiendo el modelo de la Junta Nacional de Seguridad en el Transporte para investigar fallas a nivel de sistema como la vulnerabilidad Log4j, y lanz\u00f3 una etiqueta de seguridad voluntaria \u00abMarca de Confianza Cibern\u00e9tica\u00bb. programa para dispositivos de Internet de las Cosas. <\/p>\n
El mi\u00e9rcoles en Black Hat, DARPA se sum\u00f3 a esa agenda al anunciar un concurso AI Cyber \u200b\u200bChallenge, con casi $ 20 millones en premios, para encontrar formas de usar herramientas de IA para mejorar la seguridad del software y la infraestructura existentes.<\/p>\n
Matricularse en Vigilancia de la seguridad<\/strong> bolet\u00edn de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.<\/p>\n Este bolet\u00edn puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un bolet\u00edn informativo indica su consentimiento a nuestros T\u00e9rminos de uso y Pol\u00edtica de privacidad. Puede darse de baja de los boletines en cualquier momento.<\/p>\n<\/p><\/div>\n<\/div>\n<\/div>\n