La Orden Ejecutiva de Ciberseguridad aborda los ataques recientes y mejora la protección para 2021 y años posteriores.

En muchos sentidos, el año pasado nos trajo una mala racha tras otra: la pandemia de COVID, la desaceleración económica, los recortes de empleo y, lo peor de todo, demasiadas vidas perdidas. Afortunadamente, muchos elementos del sistema estadounidense han demostrado ser relativamente resistentes a estos reveses. Durante este mismo tiempo, han tenido lugar muchos eventos de ciberseguridad de gran impacto, algunos de pequeña escala y otros de mayor interés periodístico. La violación de SolarWinds fue una llamada de atención para la comunidad de ciberseguridad, donde un compromiso de la cadena de suministro de software no solo afectó a la víctima inicial, sino que afectó a todas las entidades comerciales y agencias federales que utilizan su software. Las organizaciones de TI todavía están sintiendo y calculando el dolor de este ataque y continuarán haciéndolo durante algún tiempo. Aunque este ataque fue noticia fuera de la comunidad de TI, el dolor a nivel del consumidor fue muy pequeño. Sin embargo, este ataque resultó ser un presagio de uno que no sólo afectaría a la tecnología en general, sino directamente al público estadounidense. La violación del oleoducto Colonial demostró cuán vulnerables son nuestros sistemas y la capacidad de un ataque de causar una perturbación generalizada en la sociedad estadounidense. Lo sé, estuve buscando gasolina el sábado pasado…

La Orden Ejecutiva del 12 de mayo para mejorar la ciberseguridad del país establece un enfoque multifacético sobre cómo mitigar este tipo de ataques. Como se explora a continuación, una falla en cualquiera de las capacidades para detectar, informar, emplear protecciones de manera oportuna y, en última instancia, defenderse contra la amenaza puede causar un efecto en cascada sobre si la amenaza se frustra con éxito o no. En otras palabras: Los atacantes sólo necesitan tener razón una vez. Los profesionales de la ciberseguridad necesitan tener razón todo el tiempo.

La criticidad de la confianza cero

El concepto de Confianza Cero existe desde hace algún tiempo. El gobierno federal conoció el concepto de Confianza Cero principalmente a través del esfuerzo de modernización TIC 3.0, que en esencia se basa en el concepto de Confianza Cero. La iniciativa TIC 3.0 surgió debido a la necesidad de que las agencias federales permitan que los datos y servicios federales residan fuera del límite de seguridad de la agencia a través de servicios en la nube. Lamentablemente, la protección adecuada de los datos confidenciales que se comparten entre los proveedores de la nube y las agencias no ha alcanzado un umbral de riesgo aceptable, y la reciente orden ejecutiva lo pone de manifiesto.

El gobierno federal debe poder obtener datos sobre amenazas de sus socios para mantenerse al tanto de las últimas amenazas de seguridad. El NIST ha dado un excelente paso hacia abordar lo que Zero Trust debería significar para el gobierno federal con SP 800-207 .

La visibilidad es más importante que nunca

Muchas agencias y corporaciones aún padecen puntos ciegos dentro de su organización de ciberseguridad. Si los ataques no pueden verse, no pueden detectarse, denunciarse ni mitigarse. La visibilidad se ha convertido en un problema aún mayor debido a la proliferación de SSL/TLS en lo que tradicionalmente se han considerado partes seguras/internas de la red, en relación con la necesidad de cifrar todas las transmisiones de datos. Además, la visibilidad es esencial para que el paradigma de Confianza Cero funcione correctamente, ya que el Punto de Aplicación de Políticas de Confianza Cero (PEP) debe tener todos los datos necesarios para tomar la decisión adecuada sobre si se debe permitir o no el acceso.

La elaboración de informes, el seguimiento y el intercambio de información sobre amenazas son importantes

La visibilidad de las amenazas es esencial para su detección, y las siguientes prioridades son la generación de informes, el monitoreo y la capacidad de compartir información sobre amenazas. Compartir adecuadamente la inteligencia sobre amenazas proporciona un mecanismo para confirmar potencialmente una amenaza o la gravedad del riesgo que plantea una amenaza; aún más importante, proporciona a los analistas de ciberseguridad todos los datos necesarios para cuantificar una nueva amenaza.

Iniciativas como CDM se han puesto en marcha desde hace algún tiempo para ayudar a lograr la consolidación y la presentación de informes de datos sobre amenazas. Algunos procesos y la recopilación de inteligencia sobre amenazas están muy por detrás de los estándares requeridos, especialmente porque todavía existen puntos ciegos importantes en algunas redes. Esto genera un efecto en cascada en todo el panorama de protección de la ciberseguridad. Al final, los equipos de ciberseguridad necesitan ver todas las transacciones y datos desde el cliente hasta la aplicação para proporcionar las evaluaciones más significativas de las posibles amenazas. Debe existir un intercambio sin trabas de inteligencia sobre amenazas en el ecosistema de socios federales. El intercambio de inteligencia sobre amenazas también es vital para detectar amenazas a la cadena de suministro de software.

La agilidad en seguridad cobra cada vez mayor importancia

Sin duda surgirán nuevas amenazas que obligarán a los equipos de ciberseguridad a implementar medidas de protección adicionales o nuevas. La pregunta es ¿con qué rapidez pueden los equipos de ciberseguridad emplear protecciones de manera segura y sin interrupciones? Es evidente que la capacidad de detectar y ser ágil es ahora un imperativo para brindar la protección adecuada. La TI está atravesando un cambio importante para volverse más ágil. La capacidad de entregar aplicações modernas de forma rápida y segura con menos interrupciones se ha denominado DevSecOps. Esta moderna práctica de desarrollo permite a las organizaciones ser más ágiles en la forma en que emplean las protecciones de ciberseguridad de manera segura y sin interrupciones.

La estrategia y las tácticas detrás de Cloud Smart están ganando impulso

Las medidas de seguridad predeterminadas implementadas por los proveedores de la nube han proporcionado la capacidad de incorporar seguridad local a los entornos de nube y se han convertido en una fuerza impulsora detrás de las implementaciones de la nube. Aun así, los consumidores de la nube a menudo dan un salto de confianza en que los proveedores de la nube están haciendo "lo correcto" cuando se trata de ciberseguridad, al tiempo que ceden un nivel de control de los datos y la seguridad al proveedor. El intercambio de información entre proveedores de la nube y agencias debe ser parte del ecosistema de socios federales para brindar una seguridad más integral.

Cada uno de estos inquilinos debe alcanzar un estándar de ciberseguridad más elevado. Obtenga más información sobre cómo F5 Government Solutions puede ayudar a cumplir y superar el nivel de seguridad asociado con la reciente Orden Ejecutiva de Ciberseguridad aquí .

Por Ryan Johnson, Gerente de Ingeniería de Soluciones – F5 U.S. Soluciones federales