Futuro da segurança cibernética dos EUA

segurança cibernética
segurança cibernética

O governo federal dos Estados Unidos validou, confirmou e exigiu confiança zero. Para o governo dos Estados Unidos e seus fornecedores, esta ordem executiva representa uma mudança massiva.

sta postagem se concentra na  Ordem Executiva sobre a melhoria da segurança cibernética da nação  e seu impacto na segurança cibernética e na abordagem de confiança zero. O governo Biden também publicou um informativo : “Presidente assina decreto executivo traçando novo rumo para melhorar a segurança cibernética da nação e proteger as redes do governo federal”, apresentando um sólido resumo do decreto que recomendamos verificar, especialmente para entidades não governamentais. 

A equipe de segurança e risco da Forrester bateu o tambor da confiança zero por mais de uma década. E agora, o governo federal dos Estados Unidos validou, confirmou e exigiu confiança zero. Para o governo dos Estados Unidos e seus fornecedores, esta ordem executiva representa uma mudança massiva. Mas as organizações não governamentais devem esperar sentir as repercussões disso também.

Efeitos ondulantes da ordem executiva 

A ordem executiva não atinge diretamente o setor privado, mas grandes esforços transformadores como esse levarão a mudanças muito além do governo para fornecedores de segurança e organizações empresariais. Os processos de aquisição do governo federal dos EUA são rígidos, antiquados e glaciais, que partes desta ordem executiva procuram resolver. No entanto, a natureza rígida desse processo de aquisição também fornece uma linha de base que outras organizações empresariais usam para ajudá-las a codificar e padronizar os requisitos. Essa ordem executiva se expandirá drasticamente para além do governo, à medida que as organizações empresariais a procuram para orientação. 

Grandes mudanças nas compras governamentais como essa criam incentivos comerciais, dada a quantidade de dinheiro que o governo gasta. As estimativas baseadas em solicitações de orçamento de agências dos EUA indicam que os gastos federais com segurança cibernética não chegam a US $ 18 bilhões. Por exemplo, desde  dezembro de 2020, somente a Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA) recebeu US $ 2,6 bilhões  em financiamento. Detalharemos as principais áreas de impacto a seguir. 

SBOM ganha o seu dia 

Desde 2018, a Administração Nacional de Telecomunicações e Informações (NTIA) do Departamento de Comércio dos EUA coordenou um esforço do setor para impulsionar a transparência no processo de aquisição de software para que as organizações entendam o que está no software que criam, compram e usam. A exigência da ordem executiva de que os produtos forneçam uma lista de materiais de software (SBOM) ajudará as organizações a gerenciar os riscos, permitindo que determinem rapidamente quais componentes de software vulneráveis ​​estão em seus produtos. 

SBOM é frequentemente comparado a uma lista de ingredientes em embalagens de alimentos – enquanto muitos de nós apenas olhamos para a lista de ingredientes, aqueles com alergia alimentar tomam cuidado especial para garantir que o que estão prestes a comer não os prejudique. O SBOM permite que as organizações vejam facilmente se os produtos que usam e constroem contêm algum componente com vulnerabilidades críticas. Quando os pesquisadores descobrem novas vulnerabilidades no código aberto ou em outros componentes de software, as equipes de segurança podem revisar rapidamente os SBOMs, determinar quais produtos têm esses componentes e priorizar a correção. 

Nos próximos 60 dias, a Secretaria de Comércio deve publicar os elementos mínimos para um SBOM. Existem vários formatos SBOM hoje e não temos convenções de nomenclatura padronizadas para todos os componentes de software. Isso, infelizmente, não será universalmente consistente no primeiro dia, mas é um movimento na direção certa. 

Deixando de lado a possível confusão de formatos, é importante disponibilizar um SBOM bom o suficiente para seus usuários. Também não entendemos todos os ingredientes que lemos nos rótulos dos alimentos. Espere que os fornecedores de análise de composição de software (SCA), gerenciamento de vulnerabilidade e gerenciamento de risco de terceiros habilitem seus clientes integrando as convenções SBOM preferenciais em suas ofertas. 

Cadeia de suprimentos e risco de terceiros 

A ordem executiva inclui o desenvolvimento de critérios “para avaliar as práticas de segurança dos próprios desenvolvedores e fornecedores” e propõe um sistema de rotulagem para identificar os fornecedores e produtos que ultrapassaram a linha de base. A formalização e a especificidade dessa parte da ordem executiva se alinham a um dos principais problemas enfrentados por todas as organizações que lidam com software e tecnologia hoje, independentemente do segmento. Se as empresas realmente reservam um tempo para “Proteger o que você vende”, é uma causa-raiz recorrente de violações e perda de dados, com problemas recentes acelerando a assinatura desta ordem executiva. 

Um conselho nacional de segurança de transporte equivalente para segurança cibernética 

Com esta ordem executiva, teremos finalmente um órgão (com representação tanto do setor público quanto do setor privado) para lidar com os “desastres de trem” na segurança cibernética. Isso irá melhorar enormemente o compartilhamento de informações que abrange os setores público e privado, ajudando as organizações a priorizar a implementação de equipes adequadas, tecnologias de segurança e processos importantes. Com o estabelecimento do Conselho de Revisão de Segurança Cibernética, podemos finalmente ter informações sobre incidentes cibernéticos críticos compartilhados entre os setores, junto com recomendações prescritivas essenciais sobre como outra organização pode evitar os mesmos perigos. 

Outras áreas tocadas na ordem executiva 

O compartilhamento de informações entre o setor privado e o governo ganha destaque. Os manuais de resposta padronizados, padrões de relatórios, detecção, investigação, resposta e correção também recebem menções. Muitas das especificidades nessas áreas virão nos próximos 60 a 120 dias, conforme várias agências e cargos em nível de gabinete receberam prazos para criar e emitir as políticas que transformarão essa ordem executiva em realidade e operação no governo federal e no setor privado. Os próximos dois a quatro meses serão duros para o governo. Depois disso, as coisas ficarão assim para todos à medida que lemos, digerimos e consideramos como aplicamos esses itens em nossos próprios programas de segurança e risco. 

O entusiasmo existe porque este é um momento significativo na história da segurança cibernética para os Estados Unidos. No entanto, a história dita que evitemos criar esperanças demais. As falhas existem e nós as exploramos a seguir – incluindo todas as maneiras possíveis de dar errado. 

Porções parecem uma longa lista de tecnologias com um adesivo de confiança zero 

Conforme mencionado acima, esta é a primeira vez que as políticas públicas reconhecem que o atual modelo federal de segurança cibernética está quebrado e desatualizado. Esses são os primeiros passos que precisam ser dados, considerando que temos quase 30 anos de dados e 10 anos de ataques altamente danosos, confirmando o óbvio: o governo dos EUA está na mira de outros países, assim como outros governos são visados ​​pelos EUA . A Forrester previu que um governo formalizaria a confiança zero como uma estrutura e, com certeza, seriam os Estados Unidos. 

Esta ordem executiva grita “Precisamos comprar mais tecnologia!” para resolver o problema (por exemplo, a detecção e a resposta do endpoint é mencionada pelo menos 12 vezes), mas geralmente, essa é a última coisa na lista que usamos para permitir que os problemas sejam resolvidos. E mesmo agora,   estão surgindo rumores de antigos “novos” fornecedores entrando no mercado. Alguns desses fornecedores representam os problemas dos quais devemos fugir, não para os quais devemos fugir. 

Hoje, a maioria das agências e departamentos não tem orçamento para esses itens, a equipe para executar essas ferramentas, nem o tempo livre necessário para realmente implementar nada disso. Se isso acabar no reino da maioria das implantações de produtos de segurança corporativa – metade das implantações, prateleiras e apenas 30% dos recursos usados ​​- então tudo o que fizemos foi criar um “pacote de estímulo do fornecedor de segurança governamental”. Não temos certeza se isso faz bem a ninguém, exceto os investidores e acionistas desses fornecedores. Incentivos reais que impulsionam a transformação da segurança devem existir em todos os níveis de governo para que isso seja bem-sucedido. Os profissionais de segurança sabem que mais controles para adicionar controles apenas adiciona mais complexidade, não necessariamente mais ou melhor segurança. 

Ainda falta orientação sobre todo o ciclo de vida da segurança 

Infelizmente, a orientação do Instituto Nacional de Padrões e Tecnologia (NIST) precisa evoluir fortemente para ser mais baseada na realidade da tecnologia em que vivemos atualmente. A orientação atual que saiu no final do ano passado depende da capacidade de detectar um problema ator dentro de seu ambiente através de ferramentas com algum tipo de detecção de anomalia com alta eficácia. A indústria de segurança vem perseguindo esse mágico unicórnio de detecção há anos, e ele ainda não está lá hoje. 

Essa arquitetura de referência agrega valor, mas precisa evoluir e levar em consideração as dificuldades contínuas que os profissionais de segurança enfrentam. As arquiteturas de referência do NIST precisam ser baseadas na realidade e a orientação precisa evoluir para corresponder ao que as organizações estão realmente implementando para chegar à confiança zero.  

A confiança zero (finalmente) atingiu o mainstream 

Como aquela banda underground favorita que finalmente lança um single de sucesso no Spotify, a confiança zero encontrou seu caminho para o mainstream. A abordagem de confiança zero agora terá um impacto na forma como os EUA protegem seu governo federal. A Forrester espera que essa adoção se expanda globalmente e em infraestruturas corporativas. 

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será publicado.


*