Lo que significa la nueva política de seguridad del presidente Biden para el futuro de la ciberseguridad
Este artículo se publicó originalmente en LinkedIn de Andrew Rubin.
La Administración Biden acaba de cimentar su legado en política de ciberseguridad con una orden ejecutiva arrolladora dirigida a mejorar la resiliencia y reducir el riesgo del Gobierno de Estados Unidos. Es la primera vez que nuestro gobierno intenta reescribir su plan de ciberseguridad en casi dos décadas, y no llega un día demasiado pronto. Ahora más que nunca, los adversarios tienen el tiempo, el personal y los recursos para perseguir métodos novedosos de intrusión, y como lo demuestran los recientes ataques Colonial Pipeline y SolarWinds, están viendo un éxito a gran escala en sus esfuerzos de explotación.
Esto no es solo un problema estadounidense, o un problema federal, o un problema de política, un contagio de complacencia que se ingró en el sistema. Por eso doy la bienvenida a esta Orden Ejecutiva con los brazos abiertos —porque es un llamado a la acción que necesitamos para cambiar la forma en que nos protegemos a nosotros mismos.
Adelantarse a la curva
El gobierno federal de Estados Unidos ha estado muy atrasado en la modernización de las tecnologías de la información y la ciberseguridad desde hace bastante tiempo. El secretario del Departamento de Seguridad Nacional de Estados Unidos, Alejandro Mayorkas, puso mejor el estado actual de la ciberseguridad federal en Estados Unidos cuando compartió su visión para la ciberresiliencia nacional el 31 de marzo: “Nuestro gobierno fue hackeado el año pasado y no lo sabíamos durante meses. No fue hasta que una de las mejores empresas de ciberseguridad del mundo fue hackeada y alertó al gobierno de que nos enteramos. Este incidente es uno de los muchos que subraya la necesidad de que el gobierno federal modernice las defensas de ciberseguridad y profundice nuestras asociaciones”.
¿Cómo es que uno de los países más ricos e innovadores del mundo ha estado históricamente detrás de la pelota a la hora de asegurar la infraestructura nacional? Uno pensaría que los miles de millones de dólares federales que se destinan a asegurar los activos del gobierno mitigarían el impacto de las amenazas externas.
Pero el problema no es que carecemos de los recursos o el talento o el acceso a las mejores tecnologías de defensa cibernética de su clase; después de todo, Estados Unidos es el orgulloso hogar de muchos líderes mundiales en ciberseguridad. En cambio, lo que creo que el secretario Mayorkas estaba poniendo es una acusación a todo el modelo de ciberseguridad -si no por el mundo, entonces al menos para el gobierno federal.
A nivel mundial, nosotros gastó 173 mil millones de dólares en ciberseguridad el año pasado, sin embargo, tenemos más brechas que en cualquier otro momento de la historia, y son las violaciones más catastróficas de todos los tiempos. A pesar de nuestra estrategia fallida y terribles resultados, seguimos adoptando el mismo enfoque de ciberseguridad hoy que hace 20 años. Las organizaciones intentan evitar que los ataques se infiltren en el perímetro, luego detectan los ataques cuando se deslizan y dependen de la respuesta a incidentes para limpiar el desorden.
Se acabaron los días en que la prevención y la detección por sí solas salvaban a su agencia, negocio u organización. Los ataques están en su infraestructura ahora mismo que no sabe que están ahí. Se están escondiendo. Se están disfracando. Están tratando de moverse para robar su IP, datos de clientes y secretos gubernamentales o guardarlos todos para obtener un rescate. Y tristemente, nuestro enfoque actual de ciberseguridad hace poco para evitar que estos ataques se conviertan en desastres cibernéticos a gran escala.
Mudarse a Ground Zero
Esta Orden Ejecutiva reconoce finalmente que la ciberseguridad federal el modelo está desactualizado al presentar el primer borrador del nuevo diseño de seguridad. El nuevo enfoque se puede resumir en dos palabras: Confianza Cero.
Elija un proveedor y encontrará un millón de definiciones de Zero Trust. Forrester dio a conocer el término hace más de una década, y un blog reciente por el analista de Forrester Steve Turner lo expresó de esta manera: “Zero Trust no es un producto o plataforma; es un marco de seguridad construido en torno al concepto de 'nunca confiar, siempre verificar' y 'asumir una vulneración'”.
En términos de cómo se ve Zero Trust a nivel federal, habrá una serie de componentes centrales para la implementación exitosa y el logro de una estrategia de Confianza Cero. Acceso, Identidad y Segmentación son tres tecnologías centrales que creo que se requerirán a escala. Si has usado Google Authenticator, Authy o cualquier otra aplicación de autenticación multifactor, entonces has dado un paso hacia Zero Trust, por ejemplo. Pero hay principios fundamentales de diseño que se requieren sin importar la definición que sigas.
Como principio de partida, el gobierno federal debe operar bajo el”asumir una violación” mentalidad, que es la mentalidad de que los ataques ya están en la infraestructura y nuevos ataques volverán a pasar en el futuro. A partir de ese punto de partida estratégico, las ciberdefensas federales pueden entonces prepararse mejor para detener el movimiento adversarial de ataques a través de una nube, red o centro de datos. Hemos aprendido por las malas que la efectividad del 99.9% no es suficiente cuando .1% de las brechas cuestan a los contribuyentes miles de millones de dólares o fuerzan el cierre de infraestructura crítica, como gasoductos estratégicos de combustible. En cambio, se trata de prepararse para las brechas de manera proactiva, de modo que las organizaciones puedan mitigar su alcance e impacto.
Para expandirse un poco más, el gobierno debe seguir los principios de Minimo Privilegio y Confianza Explícita. Esto significa que las comunicaciones a través de su infraestructura (entre aplicaciones, redes, nubes, centros de datos o dispositivos) deben tener la menor cantidad de privilegios posible en todo momento, y se debe exigir a las agencias que confíen explícitamente en las comunicaciones antes de que se permita que se lleven a cabo entre esos sistemas. Estos principios, por ejemplo, podrían haber impedido que el ataque SolarWinds causara tanto daño. El malware habría estado en la infraestructura pero aislado e incapaz de causar daños tan generalizados.
La nueva normalidad cibernética
Según explicó el secretario Mayorkas, “Debemos cambiar fundamentalmente nuestra mentalidad y reconocer que la defensa debe ir de la mano con la resiliencia. Se necesitan urgentemente innovaciones audaces e inmediatas, inversiones a gran escala y elevar el nivel de higiene cibernética esencial para mejorar nuestras defensas cibernéticas. Tenemos que priorizar las inversiones dentro y fuera del gobierno en consecuencia”.
Cero Confianza es más que un marco nacional de ciberseguridad: es algo que cualquier corporación, organización o individuo puede adoptar para lograr una verdadera resiliencia cibernética. Lo que aboga la Administración Biden no es un derrocamiento de las herramientas y tecnologías de seguridad que potencian y protegen el mundo de hoy, sino una mentalidad estratégica para complementar esas soluciones, con el fin de reforzar aún más nuestras defensas de ciberseguridad y amplificar nuestra preparación.
La modernización federal de la ciberseguridad obviamente no puede ocurrir de una sola vez, pero necesita comenzar con controles diseñados para aislar la actividad maliciosa una vez que ya han penetrado en las redes federales. Necesita comenzar con una mentalidad de supuesto incumplimiento, en todas las agencias. Y necesita comenzar con la adopción de estrategias Zero Trust a escala.