0
0
O Instituto Nacional de Padrões e Tecnologia publicou sua definição do que “software crítico” significa para o governo federal dos EUA, à medida que a agência de padrões começa a cumprir alguns dos requisitos estabelecidos na ordem executiva do presidente Joe Biden sobre segurança cibernética.
Como parte da ordem executiva de Biden publicada em 12 de maio, as agências federais agora são obrigadas a reexaminar sua abordagem à segurança cibernética, o que inclui o desenvolvimento de novas maneiras de avaliar o software que os departamentos compram e implantam, bem como adotar abordagens modernas de segurança, como abraçar “confiança zero” e usar autenticação e criptografia multifatorial (consulte: Ordem
Como um dos primeiros resultados a cumprir a ordem executiva, o NIST foi obrigado a desenvolver uma definição de software crítico dentro de 45 dias após a emissão do pedido. A partir deste ponto, os EUA A Agência de Cibersegurança e Infraestrutura usará a definição para publicar uma lista de produtos de software que se enquadram na nova definição, o que permitirá que a CISA crie novas regras de segurança sobre como as agências governamentais compram e implantam software em redes federais.
Ao se concentrar primeiro no que o software crítico significa para as agências do governo federal, a ordem executiva está procurando reduzir o tipo de ameaça da cadeia de suprimentos que as organizações enfrentam, como o ataque que teve como alvo a SolarWinds e os usuários da ferramenta de monitoramento de rede Orion da empresa.
“A segurança e integridade do ‘software crítico’ – software que executa funções críticas para a confiança (como pagar ou exigir privilégios elevados do sistema ou acesso direto a recursos de rede e computação) – é uma preocupação particular”, de acordo com a ordem executiva de Biden. “Assim, o governo federal deve tomar medidas para melhorar rapidamente a segurança e a integridade da cadeia de suprimentos de software, com prioridade em abordar software crítico.”
Definindo Software Crítico
Nos últimos 30 dias, o NIST solicitou contribuições da indústria privada e do público, bem como de várias agências governamentais – incluindo a CISA, o Escritório de Gestão e Orçamento, o Escritório do Diretor de Inteligência Nacional e a Agência de Segurança Nacional – para ajudar a definir o que significa software crítico.
O que o NIST publicou na sexta-feira como uma definição de software crítico é: Dependências de software ou software que contenham pelo menos um dos seguintes atributos:
- Software projetado para ser executado com privilégios elevados ou gerenciar privilégios;
- Software que tenha acesso direto ou privilegiado a recursos de rede ou computação;
- Software projetado para controlar o acesso a dados ou tecnologia operacional;
- Software que executa uma função crítica à confiança;
- Ou software que opera fora dos limites normais de confiança com acesso privilegiado.
Esta definição inclui sistemas operacionais, navegadores da web, hipervisores, ferramentas de segurança de terminais, aplicativos de gerenciamento de identidade e acesso, ferramentas de monitoramento de rede e outros produtos, de acordo com o NIST.
“A definição se aplica a software de todas as formas (por exemplo, software autônomo, software integral a dispositivos ou componentes de hardware específicos, software baseado em nuvem) comprado ou implantado em sistemas de produção e usado para fins operacionais. Outros casos de uso, como software usado exclusivamente para pesquisa ou teste que não é implantado em sistemas de produção, estão fora do escopo desta definição”, de acordo com um white paper do NIST.
O NIST observa que essa definição de software crítico pode ser aplicada a software criado por empresas privadas e vendido a agências federais ou software desenvolvido por agências governamentais e usado em redes federais, como software pronto para uso do governo.
Ponto de partida
John Dickson, vice-presidente da empresa de consultoria de segurança Coalfire, diz que, embora a definição do NIST seja um bom ponto de partida, a visão da agência sobre o que é software crítico pode ser muito expansiva.
“Ensinto que o software que executa monitoramento, controle e proteção de rede está na lista crítica, mas quando você puxa navegadores e sistemas operacionais, começa a ter uma lista potencialmente tão grande e complexa que é potencialmente incontrolável”, diz Dickson. “Eu não vi, no entanto, nenhuma menção a software de missão crítica construído internamente. Eu sei que a ordem executiva está focada na segurança do software da cadeia de suprimentos, com ênfase no software comercial pronto para uso, mas isso é uma falha em potencial. As organizações que ‘compram’ software personalizado desenvolvido para uso interno também podem criar vulnerabilidades catastróficas.”
E enquanto a definição do NIST foi criada para definir software crítico para agências governamentais dos EUA, Tim Wade, ex-gerente técnico de rede e segurança dos EUA. A Força Aérea, que agora é diretora técnica da empresa de segurança Vectra AI, diz que quase qualquer organização pode usá-la como ponto de partida para melhorar sua segurança.
“As organizações poderiam potencialmente usar essa orientação para priorizar recursos e atividades de segurança”, diz Wade. “O risco, é claro, de confiar apenas em tal lista é que a realidade no terreno é que cada organização tenha alguns fatores ambientais que tornarão um item desta lista mais impactante do que outro. Por esse motivo, as organizações nunca devem confundir a utilidade semelhante à bússola de tal orientação como um mapa exaustivo que impede a necessidade de praticar a avaliação de risco local.”
Padraic O’Reilly, cofundador e diretor de produtos da CyberSaint Security, diz que a maneira como o NIST definiu software crítico procura abordar as vulnerabilidades que os atacantes aproveitam como ponto de entrada nas redes.
“É um passo fundamental no processo de obtenção de sistemas e requisitos para fornecedores de software”, diz O’Reilly. “O software de gerenciamento de identidade e acesso tem sido uma grande parte da história em torno dos ataques mais significativos do ano passado. O aumento dos requisitos do fornecedor para aquisição incentivará melhorias em tais produtos de software.”
Próximos Passos
Embora a definição de software crítico ajude a orientar a abordagem das agências federais à compra de software e à segurança da cadeia de suprimentos, o NIST recomenda que o governo dos EUA comece lentamente a cumprir a ordem executiva.
Por exemplo, o NIST recomenda que as agências apliquem primeiro a ordem executiva para software no local em suas redes e infraestrutura que “tem funções críticas de segurança ou representem potencial significativo semelhante de danos se comprometido”. Depois disso, as agências governamentais podem analisar o software baseado em nuvem, o software utilizado em sistemas de tecnologia operacional e também ferramentas de desenvolvimento, como repositórios de código.
Agora que o NIST publicou a definição de software crítico, a CISA e o Departamento de Segurança Interna terão 30 dias para publicar uma lista de produtos de software que atendam a essa definição e sejam usados em redes do governo federal. Depois disso, o NIST, a CISA e a OMB publicarão diretrizes para proteger esses produtos críticos de software, de acordo com a ordem executiva.
FONTE: BANKINFO SECURITY