El organismo regulador de estándares, regulaciones y cumplimiento aprueba el aviso de propuesta de reglamentación dirigida al secuestro de BGPChris Riotta (@chrisriotta) •10 de junio de 2024 La FCC aprueba el aviso de propuesta de reglamentación para la seguridad de BGP 7 de junio de 2024. La Comisión Federal de Comunicaciones de EE. UU. está avanzando con los mandatos de seguridad para los principales proveedores de Internet y, al mismo tiempo, apunta a las principales vulnerabilidades en el Border Gateway Protocol. Ver también: Cómo los navegadores empresariales mejoran la seguridad y la eficiencia El organismo regulador aprobó por unanimidad un aviso de reglamentación propuesta el viernes que requeriría que los nueve proveedores de banda ancha más grandes de EE. UU. establezcan planes confidenciales de gestión de riesgos de seguridad BGP. La comisión señaló que el diseño inicial de BGP “sigue estando ampliamente implementado hoy en día”, pero carece de características de seguridad críticas que ayuden a garantizar la confianza en la información de enrutamiento enviada a través de miles de sistemas complejos y administrados de forma independiente en la web. Los planes de seguridad confidencial deben incluir esfuerzos específicos para crear y mantener autorizaciones de origen de rutas a través de la infraestructura de clave pública de recursos, que agrega un abogado de clave pública e infraestructura de certificados al enrutamiento de Internet a través de sistemas autónomos. Los expertos han advertido recientemente que los piratas informáticos atacan las vulnerabilidades de BGP para interrumpir servicios críticos. La FCC inició una investigación sobre la seguridad de BGP en 2022 después de que las autoridades ucranianas observaran un presunto secuestro de BGP vinculado a Rusia menos de 24 horas antes de que las tropas rusas invadieran el país (ver: Regulador anuncia revisión de seguridad del protocolo de entrada fronteriza). BGP es un componente esencial para facilitar el enrutamiento del tráfico de Internet y garantizar que los paquetes de datos se envíen a sus destinos correctos, pero no se creó teniendo en mente la ciberseguridad global. Los planes de seguridad propuestos también deberían proporcionar objetivos y cronogramas para la implementación de RPKI, y deben actualizarse y presentarse nuevamente anualmente según las nuevas reglas. Se desconocen detalles adicionales sobre los planes confidenciales según las reglas propuestas, pero «el estado de la seguridad de enrutamiento de un ISP, incluida la información sobre el despliegue de RPKI, es en gran medida información pública», dijo Alissa Starzak, vicepresidenta de políticas públicas de la firma de seguridad. Llamarada de nube. «Debido a que las acciones que toman las empresas son públicas, existe un nivel razonable de transparencia y responsabilidad públicas», dijo Starzak a Information Security Media Group sobre cómo los principales proveedores de banda ancha podrían implementar la seguridad BGP. La reglamentación propuesta detalla cómo los ejemplos de la vida real de secuestro de BGP han resultado en que sitios como Facebook desaparezcan efectivamente de Internet, y agrega que «la seguridad de BGP no sólo es crítica para la seguridad pública sino también para la seguridad nacional». La FCC también propone que los proveedores más pequeños preparen y mantengan planes BGP “y los pongan a disposición dentro de las 48 horas siguientes a la solicitud de la comisión”, en lugar de presentar sus planes a la comisión anualmente. La reglamentación propuesta señala cómo los proveedores de servicios más pequeños «pueden tener relativamente menos recursos internos disponibles que los proveedores de nivel 1 más grandes para asegurar el enrutamiento de Internet». URL de la publicación original: https://www.databreachtoday.com/fcc-advances-bgp-security-rules-for-broadband-providers-a-25476