¿Podría el gobierno federal de Estados Unidos estar fomentando inadvertidamente las condiciones perfectas para otro incidente cibernético sin precedentes que tendría impactos de gran alcance en los servicios federales, estatales y de infraestructura crítica similares al incidente de 2008? la reciente interrupción de CrowdStrike?
La puesta en escena
El Programa de Subvenciones de Ciberseguridad Estatal y Local de EE. UU. (SLCGP) proporciona fondos a entidades elegibles para mejorar su postura de ciberseguridad y reducir el riesgo de ciberataques. Por supuesto, esto es algo bueno, ya que muchas entidades públicas no tienen el presupuesto para adoptar una postura de ciberseguridad adecuada para proteger los datos personales o los servicios que prestan.
Antes de esta financiación, cada entidad tomaba su propia decisión en materia de ciberseguridad y tenía que financiarla con los presupuestos existentes. Por ejemplo, un distrito escolar podría seleccionar un proveedor basándose en los servicios y el precio, el distrito escolar vecino podría elegir otro proveedor, y así sucesivamente. Para la gente frugal, esto parecería una mala solución. Si las entidades se consolidaran y utilizaran un solo proveedor, recibirían descuentos en compras al por mayor y reducirían la cantidad de impuestos gastados.
Pero pídale a un profesional de ciberseguridad que describa la mejor postura de ciberseguridad y le dirá términos como “defensa en profundidad” o “capas de defensa”. Esto se refiere al uso de múltiples tecnologías y, en la mayoría de los casos, múltiples proveedores, para frustrar posibles ataques o incidentes, como el único controlador corrupto de CrowdStrike que causa una interrupción global en varias grandes empresas.
Cuando el Cómo se desarrolló el ciberataque a SolarWinds Había 33.000 usuarios privados, federales y estatales de la tecnología, de los cuales aproximadamente 18.000 instalaron la actualización maliciosa. La respuesta a este ataque a la cadena de suministro dio lugar a nuevas regulaciones destinadas a mejorar la seguridad de la cadena de suministro, y esto continúa sucediendo hoy. Aunque el ataque fue devastador, no fue un evento de Cyber Armageddon porque los estados, entidades dentro de los estados, agencias federales y otros estaban utilizando un conjunto diverso de soluciones de diferentes proveedores.
El reciente y desafortunado incidente sufrido por los clientes de CrowdStrike muestra cuán devastador puede ser el problema de un solo proveedor, con solo 8,5 millones de dispositivos afectados en todo el mundo (lo que representa menos del 1% de los dispositivos Windows), lo que causa una interrupción global masiva en aerolíneas, centros de atención médica, empresas y más. .
Crear un monocultivo
Ahora tomemos el ejemplo de SLCGP, que ofrece dinero gratis para gastar en ciberseguridad. Es como mariposas atraídas por una luz. Un estado puede solicitar fondos de subvención para cubrir múltiples entidades dentro de su jurisdicción. Una vez que se otorga la subvención, se selecciona un proveedor y se ofrece a entidades de todo el estado, ya sea gratis o con descuento debido a las licencias por volumen. Esto crea un entorno de ciberseguridad monocultural, o una tormenta perfecta para un incidente cibernético importante, donde si el proveedor principal es atacado o explota una vulnerabilidad significativa, podría acabar con servicios estatales completos, todos los distritos escolares, administraciones locales, etc. El efecto en la sociedad cotidiana podría ser devastador.
Los incidentes de SolarWinds y CrowdStrike demuestran, a escala limitada, que cuando un solo proveedor experimenta un incidente de cierto tipo, si hay suficientes partes afectadas, el incidente se vuelve significativo, y si todos se agrupan en un solo estado, se vuelve significativo. un incidente importante.
Si un único proveedor se convierte en el estándar de facto para los estados que solicitan SLCGP (una buena posibilidad: conozco personalmente algunas organizaciones que se han incorporado a una solución estándar como parte de una solución estatal sin costo o casi sin costo)
Para poner las cosas en contexto, hay aproximadamente 50 millones de niños en edad escolar en Estados Unidos. Si el 90% de los estados son clientes de una solución única, y eso incluye la educación financiada por el estado, el impacto de un incidente cibernético perturbaría la educación de 45 millones de niños. Y en algunos casos, las escuelas sufrieron significativamente cuando fueron afectadas por un incidente cibernético, lo que requirió su cierre durante meses. Y la educación es sólo un área afectada por el riesgo de un solo proveedor.
El SLCGP parece estar creando un nuevo entorno de monocultivo, en una escala que podría hacer que los incidentes anteriores parezcan insignificantes. Monocultivo es un término utilizado generalmente en la agricultura. En resumen, se trata de rotación de cultivos: diversidad en la plantación para proteger tanto el cultivo como los campos en los que se planta. Si se planta un solo cultivo en el mismo campo durante varias temporadas, el resultado es un rendimiento deficiente.
Promoviendo la diversidad en la ciberseguridad
En 2015, un artículo académico detalló problemas de ciberseguridad monoculturales relacionados con el uso de productos antivirus (AV). Concluyó que “las tasas de infección reducidas se correlacionaban positivamente con tasas de actividad AV más altas, un uso y estado estable de los productos AV y una diversidad de productos AV”. La importancia de una selección diversa de productos evita que un solo incidente, ya sea malicioso o desafortunado, cause una falla catastrófica.
Las acciones de los estados para estandarizar un solo producto utilizando el SLCGP crean un escenario de producto de seguridad dominante que resulta en una monocultura, un estándar predeterminado para los ciberdelincuentes. Los ciberdelincuentes deben buscar una debilidad en un solo producto o descubrir una vulnerabilidad explotable para afectar una porción significativa de los servicios, afectando potencialmente a toda la población de un estado.
La solución es promover y exigir varias capas de arquitectura de defensa, lo que debería ser una condición para recibir financiación del SLCGP.