Mientras el presidente Biden se prepara para entregar el gobierno a la nueva administración Trump, emitió una nueva orden ejecutiva sobre ciberseguridad que describe un agresivo plan de ciberdefensa contra las amenazas cibernéticas nacionales más peligrosas de la actualidad, incluida China, y las vulnerabilidades generalizadas de la cadena de suministro de software. entre el gobierno y el sector privado.
Amplia y ambiciosa, la EO se lee como un informe detallado sobre el estado de la ciberseguridad en los Estados Unidos, elaborado por la administración Biden, centrado en sentar las bases para el nuevo equipo. Y con las amenazas aumentando en todo el mundo, independientemente de la afiliación partidista y las predilecciones partidistas, la ciberseguridad de Estados Unidos y de los estadounidenses depende de un traspaso fluido de Biden a Trump, dicen los expertos.
Las señales son positivas hasta el momento. Esta orden refleja una transición limpia y responsable hacia la administración Trump, según Tom Cross, estratega de ciberseguridad de WitFoo.
“La ciberseguridad no es una cuestión partidista: todos en los Estados Unidos tienen un interés común en proteger a nuestro país de las ciberamenazas extranjeras, como el espionaje y las interrupciones de la red”, escribió Cross en un comunicado en respuesta a la noticia. Orden ejecutiva de Biden sobre ciberseguridad. “Al emitir esta orden ejecutiva ahora, la administración Biden puede implementar sus mejores ideas sobre estos temas, dándole tiempo a la administración Trump para implementar un nuevo liderazgo y desarrollar su estrategia para el futuro”.
La EO es un sujetalibros para Orden ejecutiva de ciberseguridad de 2021 de Bidenliberado a principios de su mandato, y refleja un país acosado por un nuevo conjunto de adversarios geopolíticos armados con tecnología cada vez más sofisticada, incluyendo inteligencia artificial generativa (GenAI).
La orden reconoce el descarado aumento de la actividad cibernética maliciosa originada en China, incluidas violaciones de Tesoro de EE. UU. y al menos nueve redes de telecomunicaciones en una operación de espionaje masiva llevada a cabo por Salt Typhoon y otras amenazas persistentes avanzadas (APT) patrocinadas por el gobierno chino. Aunque la EO solo cubre agencias federales, la administración Biden tiene una larga historia de utilizar políticas y recursos federales de ciberseguridad para hacer las cosas. sector privado a su vez adoptar normas más seguras.
“La última orden ejecutiva cibernética de la administración Biden se centra en proteger la infraestructura crítica, adoptar la IA para la defensa y hacer la transición a la criptografía poscuántica con una agenda ambiciosa”, dijo Andrew Borene, Director Ejecutivo de Seguridad Global de Flashpoint y ex Oficina del Director. . un alto funcionario de inteligencia nacional (ODNI), le dice a Dark Reading. “Sin embargo, el verdadero poder de esta orden ejecutiva puede residir en su capacidad de institucionalizar algunas de las mejores prácticas mientras las empresas multinacionales y las agencias gubernamentales estadounidenses enfrentan el peligroso entorno digital de una nueva Guerra Fría”.
Asegurar la cadena de suministro, la nube y el espacio del software federal
La última orden ejecutiva de Biden comienza con la cadena de suministro de software federal, exigiendo que las agencias desarrollen estándares de adquisición de software seguros y solo hagan negocios con proveedores de software que puedan dar fe de prácticas de desarrollo seguras y proporcionar evidencia de cumplimiento de estos estándares. Dentro de los próximos 60 días, se debe convocar a un consorcio, que incluya al Secretario de Comercio y funcionarios del Instituto Nacional de Estándares y Tecnología (NIST), para desarrollar estos estándares, que incluirán prácticas, procedimientos, controles y ejemplos de implementación, según la OE.
También se ordenó a las agencias federales que implementaran Prácticas de gestión de riesgos de la cadena de suministro del NIST. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Administración de Servicios Generales (GSA) evaluarán cómo gestionar de forma segura el software de código abierto dentro de las redes federales.
La orden de Biden también aborda superficies de ataque emergentes dentro del gobierno federal, incluida la nube y sistemas espaciales/satélitesy pide la implementación de prácticas de gestión de identidad y acceso (IAM) en todas las agencias.
En cuanto a la nube, la orden exige que los proveedores de servicios del mercado FedRAMP, como Google o Amazon, proporcionen a las agencias federales recomendaciones sobre la configuración de la nube.
“Me complace especialmente ver que se exigirá a los proveedores de la nube que publiquen información a sus clientes sobre cómo operar de forma segura”, escribió en un comunicado Chris Hauk, defensor de la privacidad del consumidor en Pixel Privacy. “Demasiadas violaciones de datos se deben a depósitos de datos en la nube mal configuradosa menudo dejando los datos almacenados en estos compartimentos abiertos a cualquier persona con una conexión a Internet y un poco de conocimiento.
Mientras tanto, los sistemas espaciales deben someterse a análisis continuos para garantizar que los sistemas estadounidenses estén actualizados con las últimas amenazas, explicó la EO.
“A medida que aumentan las amenazas a la ciberseguridad a los sistemas espaciales, estos sistemas y su infraestructura digital deben diseñarse para adaptarse a la evolución de las amenazas a la ciberseguridad y operar en entornos en disputa”, afirma la EO. “A la luz del papel central que desempeñan los sistemas espaciales en infraestructura crítica global y resiliencia de las comunicaciones, y para proteger aún más los sistemas espaciales y la infraestructura digital de apoyo vital para nuestra seguridad nacional, incluida nuestra seguridad económica, las agencias deben tomar medidas para verificar continuamente que los sistemas espaciales federales tengan las capacidades de ciberseguridad requeridas por acciones que incluyen evaluaciones, pruebas y ejercicios continuos. , modelado y simulación.
Asegurar las comunicaciones federales
Las actividades de espionaje de China han puesto de relieve Necesidad de proteger las redes de comunicaciones federales.según la OE. Por lo tanto, la administración Biden ha establecido directrices para fortalecer la ciberseguridad de las redes de comunicaciones, incluida la implementación de controles de identidad, el cifrado del tráfico DNS y el cifrado de todos los correos electrónicos, voz, vídeos y mensajes.
Con respecto a la criptografía, el EO de Biden dijo que el NIST desarrollaría nuevas reglas para proteger y auditar las claves criptográficas. Además, las agencias deben requieren criptografía poscuánticacuando corresponda, establece la EO.
Estos requisitos de control de criptografía y autenticación también son aplicables a otros sistemas críticos de seguridad nacional, señala Borene de Flashpoint.
“Desde las redes de energía hasta los satélites, la directiva destaca la necesidad de proteger los sistemas que sustentan nuestra seguridad nacional y nuestra vida diaria”, añade. “La promoción de protocolos universales de cifrado y autenticación es particularmente oportuna, dada la frecuencia y escala de los ataques recientes”.
Liberando la IA para proteger la infraestructura crítica
Se debe implementar inteligencia artificial para proteger la infraestructura crítica de EE. UU. de los ciberataques, según el EO de Biden. La orden establece un programa para explorar el uso de la IA para fortalecer las defensas cibernéticas de Estados Unidos y promover investigaciones adicionales.
Y, de hecho, la IA desempeñará un papel cada vez más importante en la protección de Estados Unidos de ataques cibernéticos en el futuro, según Christian Geyer, director ejecutivo y fundador de Actfore.
“Si bien es crucial reconocer Superficie de ataque ampliada que la IA puede proporcionar“Podemos ser optimistas sobre el increíble potencial que tiene para mejorar la seguridad y la eficiencia”, escribió Geyer en un comunicado. “El principal desafío radica en navegar las complejidades de los procesos gubernamentales, pero con el enfoque correcto, estos desafíos pueden superarse, garantizando que las iniciativas tecnológicas sean efectivas y seguras.
El ransomware y el desarrollo de identificaciones digitales para transacciones seguras en línea también están incluidos en la lista de deseos de ciberseguridad de la administración Biden.
La EO es claramente integral y de amplio alcance. Pero sin la aceptación del equipo cibernético de Trump, muchos esfuerzos de EO podrían verse bloqueados, advierten los investigadores. Aún no sabemos cómo sucederá esto.
EL administración Trump ya ha reportado un disgusto por la regulacióny ponerlo en práctica durante todo el primer mandato de Trump, según Coleman Mehta, jefe de política y estrategia pública global de Infoblox. Aún así, estaba dispuesto a aprovechar las políticas de ciberseguridad anteriores de la administración Obama.
“Del mismo modo, el presidente Biden a menudo se ha basado en las políticas establecidas por Trump”, le dice Mehta a Dark Reading. “Los principios fundamentales de esta continuidad deben seguir siendo los mismos: centrarse en la amenaza de los ciberadversarios chinos, fortalecer la seguridad de la cadena de suministro y seguir fomentando la colaboración público-privada”.
Durante sus recientes audiencias de confirmación en el Senado para Secretario de Estado, el senador Marco Rubio (R-Florida) indicó su interés en ver cambios de política destinados a abordar la amenaza cibernética global, señala Borene de Flashpoint.
“De cara al futuro, la nueva administración hereda un mundo de amenazas estatales en rápida escalada por parte de adversarios como China, Rusia, Irán, así como una red creciente de representantes cibernéticos e incluso de grupos criminales transnacionales de extorsión”, dijo Borene. “Una transferencia bien ejecutada de ciertas disposiciones de la orden ejecutiva podría fortalecer las defensas cibernéticas de Estados Unidos en un momento en que la seguridad proactiva de la información nunca ha sido más crítica”.