En sus últimos días, el gobierno de Biden ha emitido una importante orden ejecutiva (OE ) centrada en el refuerzo de áreas clave del planteamiento del gobierno federal en materia de ciberseguridad para riesgos como la adquisición de software, las cadenas de suministro y la necesidad de mejores herramientas de detección y respuesta.
La necesidad de cadenas de suministro seguras es un problema reconocido desde hace tiempo, pero quizá se ilustró con mayor crudeza el año pasado, cuando se infiltraron en las cadenas de suministro de Hezbolá, lo que dio lugar a dispositivos de comunicaciones que explotaban al ser utilizados. Otros ejemplos son el conocido ataque a SolarWinds, los ataques a la red de bots Mirai (malware responsable de importantes ataques distribuidos de denegación de servicio) y el ataque ransomware 2021 Colonial Pipeline a un sistema de suministro de petróleo estadounidense. Y, por último, la autoridad del agua de Aliquippa, Pensilvania, cuyo dispositivo Unitronics, desarrollado por Israel y utilizado como interfaz de comunicaciones con infraestructuras críticas, sirvió para hacerse con el "control parcial" de los reguladores del agua.
Aquí es donde confluyen la gestión de riesgos de la cadena de suministro y los riesgos cibernéticos. Aunque algunos de estos pueden parecer ejemplos extremos, es fácil ver cómo las infiltraciones en las cadenas de suministro de software de las administraciones públicas con tácticas como la inyección de código malicioso podrían tener consecuencias devastadoras. Nunca ha estado tan claro que los riesgos cibernéticos pueden tener repercusiones físicas debido a la interdependencia del software, los sistemas gubernamentales y las infraestructuras críticas.
La cadena de suministro del gobierno de Estados Unidos representa una red compleja y expansiva de vendedores, proveedores y prestadores de servicios que desempeñan un papel fundamental en el apoyo a los objetivos estratégicos del país, incluida la protección de las infraestructuras críticas de la nación, como la gestión de aguas residuales, la producción de energía y la fabricación. Sin embargo, esta intrincada red de entidades interconectadas también proporciona una enorme superficie de ataque con numerosos puntos de entrada para posibles ciberamenazas. La proliferación de sistemas y dispositivos expuestos a Internet dentro de esta cadena de suministro agrava aún más el riesgo de que cada activo conectado pueda servir potencialmente como puerta de entrada para que agentes adversarios se infiltren en la red más amplia. Hemos tenido la suerte de que la tecnología de las infraestructuras críticas requiere unos conocimientos únicos para su gestión y funcionamiento, por lo que no hemos asistido a una proliferación de ataques a infraestructuras críticas.
Dada la amplitud y criticidad del software utilizado por el gobierno de Estados Unidos, el reto de la ciberseguridad es inmenso. Los adversarios del Estado-nación pueden emplear tácticas, técnicas y procedimientos sofisticados, como la introducción de puertas traseras de software en sistemas gubernamentales de misión crítica. Pueden dirigirse a proveedores más pequeños dentro de la cadena de suministro, aprovechándose de aquellos con medidas de seguridad más débiles para obtener un acceso que les permita introducir código malicioso.
La OE establece procedimientos importantes para ayudar a garantizar la seguridad del software utilizado en las agencias gubernamentales. Pide a los proveedores de software que presenten a la Agencia de Infraestructuras Críticas y Seguridad (CISA) certificados legibles por máquina sobre sus prácticas de desarrollo de software, así como una lista de los clientes de software de sus agencias del poder ejecutivo civil federal (FCEB). En un plazo de 30 días a partir de la publicación de este requisito, el Departamento de Seguridad Nacional desarrollará un programa para verificar y validar todos los formularios de certificación.
La nueva orden del Presidente también exige a las agencias inventariar todos los sistemas de información en un registro centralizado que sería mantenido por la CISA, el Departamento de Defensa o un "gestor nacional". Las partes compartirán sus inventarios según proceda para identificar lagunas o solapamientos en la cobertura de la supervisión.
Estos requisitos clave proporcionarán al gobierno una herramienta sólida para ayudar a garantizar la integridad del software utilizado por las agencias FCEB, así como un inventario útil de dónde se despliega ese software y una comprensión de la extensión total de esta superficie de ataque. Esto es esencial para mitigar eficazmente los riesgos de la cadena de suministro y garantizar el éxito de las misiones gubernamentales.
Esta OE representa un paso positivo y el reconocimiento de la importancia de un enfoque polifacético de la estrategia de seguridad de la cadena de suministro de software que incorpore sólidas evaluaciones de riesgos de los proveedores, una supervisión continua y la adopción de marcos de seguridad avanzados. Las evaluaciones exhaustivas de los riesgos de los vendedores requieren auditorías de seguridad completas de todos los vendedores y proveedores de la cadena de suministro para evaluar las prácticas de ciberseguridad de los vendedores, el cumplimiento de las normas del sector y la postura de riesgo general. A este respecto, los requisitos de atestación y un registro centralizado ayudarán a minimizar la probabilidad de que los adversarios introduzcan vulnerabilidades y posibilidades de explotación.
Para reforzar la eficacia de estos nuevos requisitos, los organismos también deben seguir centrándose en la adopción de los modelos de ciberseguridad existentes, como el Marco de Ciberseguridad 2.0 del Instituto Nacional de Normas y Tecnología (NIST) y el marco gubernamental de Confianza Cero. Dentro de la cadena de suministro, una arquitectura de confianza cero se basa en el principio de que no se debe confiar por defecto en ninguna entidad, ya sea interna o externa. Mediante la aplicación de los principios de confianza cero, los organismos pueden reducir significativamente el riesgo de acceso no autorizado y el movimiento lateral dentro de la cadena de suministro de software.
Censys se encuentra en una posición única para ayudar a nuestros clientes gubernamentales a superar estos retos de ciberseguridad con potentes herramientas para el escaneado de todo Internet, el descubrimiento de activos y la gestión de vulnerabilidades para ofrecer información sobre la exposición a Internet que comprende su superficie de ataque única. Al proporcionar una visión completa y en tiempo real de toda la infraestructura digital de una organización, Censys les permite visualizar su terreno cibernético de una manera que pone de relieve los riesgos, prioriza las acciones de respuesta y permite la planificación proactiva de la defensa.
En Censys aplaudimos los pasos que la nueva OE pone en marcha para abordar los crecientes riesgos y desafíos relacionados con la cadena de suministro de software del gobierno y otras vulnerabilidades. Estamos deseando trabajar con nuestros clientes del gobierno federal para abordar con éxito estas cuestiones.
