El  Resiliencia de la red coalición emitió recomendaciones destinadas a mejorar la infraestructura de seguridad de la red mediante la reducción de las vulnerabilidades creadas por software y hardware obsoletos y mal configurados. Los miembros de la NRC, junto con los principales líderes de ciberseguridad del gobierno de EE. UU., describieron las recomendaciones en un evento en Washington, DC.

Establecido en julio de 2023 por el Centro de Políticas y Leyes de Ciberseguridad, el NRC busca alinear a los operadores de redes y proveedores de TI para mejorar la resiliencia cibernética de sus productos. La NRC whitepaper incluye recomendaciones para abordar el desarrollo de software seguro y la gestión del ciclo de vida, y adopta el desarrollo de productos predeterminados y seguros por diseño para mejorar la seguridad de la cadena de suministro de software.

Los miembros de NRC incluyen AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon y VMware.

El grupo hace un llamado a todos los proveedores de TI para que presten atención a las advertencias del gobierno de que los actores de amenazas de los estados-nación han intensificado sus esfuerzos para atacar la infraestructura crítica explotando vulnerabilidades de hardware y software que no están adecuadamente protegidas, parcheadas o mantenidas.

Sus recomendaciones son consistentes con las de la Administración Biden. Orden Ejecutiva 14208, pidiendo estándares de ciberseguridad modernizados, incluida una mejor seguridad de la cadena de suministro de software. También se asignan a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). Seguridad por diseño y por defecto orientación y a la Ley de Seguridad Cibernética de la administración emitida el año pasado. 

Eric Goldstein, subdirector ejecutivo de ciberseguridad de CISA, describió la formación del grupo y la publicación del documento técnico seis meses después como un avance sorprendente pero bienvenido. "Francamente, la idea, incluso hace unos años, de que los proveedores de redes, los proveedores de tecnología [y] los fabricantes de dispositivos se unieran y dijeran que debemos hacer más colectivamente para avanzar en la ciberseguridad del ecosistema de productos habría sido un concepto extraño", dijo Goldstein. durante el evento de la NRC. “Hubiera sido un anatema”.

Adoptando SSDF del NIST y OASIS Open EoX

La NRC está pidiendo a los proveedores que mapeen sus metodologías de desarrollo de software con las del NIST. Marco de desarrollo de software seguro (SSDF), al tiempo que detalla durante cuánto tiempo darán soporte y lanzarán parches. Además, los proveedores deberían publicar parches de seguridad por separado en lugar de agruparlos con actualizaciones de funciones. Al mismo tiempo, los clientes deben dar importancia a los proveedores que se han comprometido a publicar parches críticos por separado y cumplir con el SSDF.

Además, la NRC recomienda que los proveedores apoyen OpenEoX, un esfuerzo lanzado en septiembre de 2023 por OASIS para estandarizar la forma en que los proveedores identifican el riesgo y comunican los detalles del final de su vida útil en un formato legible por máquina para cada producto que lanzan.

Los gobiernos de todo el mundo están tratando de determinar cómo hacer que sus economías en general sean más estables, resilientes y seguras, dijo Matt Fussa, director de confianza de Cisco. "Creo que todas las empresas están estrechamente asociadas con CISA y el gobierno de EE. UU. en su conjunto para impulsar las mejores prácticas, como producir facturas y materiales de software, participar e implementar prácticas de desarrollo de software seguro", dijo Fussa durante el evento de prensa de la NRC de esta semana.

Las iniciativas para aumentar la transparencia en el software, establecer entornos de construcción más seguros y reforzar los procesos de desarrollo de software darán como resultado una seguridad mejorada más allá de la infraestructura crítica, agregó Fussa. "Habrá un efecto indirecto fuera del gobierno a medida que esas cosas se conviertan en normas en la industria", dijo. 

Durante una sesión de preguntas y respuestas con los medios celebrada inmediatamente después de la sesión informativa, Fussa de Cisco reconoció que los proveedores han tardado en cumplir con las órdenes ejecutivas para emitir SBOM o la autocertificación de los componentes de código abierto y de terceros en sus ofertas. "Una de las cosas que nos sorprendió fue que una vez que estuvimos listos para producirlos, no eran exactamente grillos, pero era un volumen menor de lo que hubiéramos esperado", dijo. "Creo que con el tiempo, a medida que la gente se sienta cómoda con cómo usarlos, veremos que eso aumenta y eventualmente se vuelve común".

Se recomienda acción inmediata

Fussa insta a las partes interesadas a comenzar a adoptar de inmediato las prácticas descritas en el nuevo informe. “Los animo a todos a pensar en hacer esto con urgencia, implementar SSDF con urgencia, crear y conseguir SBOM para sus clientes con un sentido de urgencia y, francamente, impulsar la seguridad con un sentido de urgencia, porque los actores de amenazas no están esperando. y están buscando activamente nuevas oportunidades para explotar todas nuestras redes”.

Como consorcio industrial, la NRC sólo puede llegar tan lejos como para incentivar a sus miembros a seguir sus recomendaciones. Pero debido a que el documento técnico se alinea con la Orden Ejecutiva y la Estrategia Nacional de Ciberseguridad publicado por la Casa Blanca el año pasado, Fussa cree que cumplirlo preparará a los proveedores para lo inevitable. "Haré una predicción de que muchas de las sugerencias que se ven en este documento serán requisitos legales, tanto en Europa como en Estados Unidos", añadió.

Jordan LaRose, director de práctica global para seguridad de infraestructura de NCC Group, dice que contar con ONCD y CISA detrás del esfuerzo del consorcio es un respaldo digno de mención. Pero después de leer el artículo, no creía que ofreciera información que no estuviera ya disponible. 

"Este documento técnico no es muy detallado", dice LaRose. “No describe un marco completo. Hace referencia al SSDF del NIST, pero supongo que la pregunta que se hará la mayoría de las personas es: ¿necesitan leer este documento técnico cuando podrían simplemente leer el SSDF del NIST?

Sin embargo, LaRose señala que subraya la necesidad de que las partes interesadas acepten los requisitos y responsabilidades potenciales que enfrentarán si no desarrollan procesos seguros desde el diseño e implementan los modelos de final de vida recomendados.

Carl Windsor, vicepresidente senior de tecnología y soluciones de productos de Fortinet, dijo que cualquier esfuerzo para incorporar seguridad a los productos desde el primer día es fundamental. Windsor dijo que le alienta especialmente que el informe incluya el SSDF y otros trabajos del NIST y CISA. "Si construimos nuestros productos desde el primer día, alineándonos con los estándares NIST, estamos entre el 90 y el 95% del camino recorrido con todos los demás estándares que están surgiendo en todo el mundo", afirmó.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/application-security/nrc-issues-recommendations-for-better-network-software-security