Crédito: NIST ¡Es la tercera semana de nuestra serie de blogs del Mes de concientización sobre la ciberseguridad! Esta semana, entrevistamos a Michael Ogata (informático) y Paul Watrobski (especialista en seguridad de TI) del NIST sobre la importancia de actualizar el software. El tema del Mes de la Concientización sobre la Ciberseguridad de esta semana es «actualización de software». ¿Cómo se relaciona su área de trabajo/especialidad en el NIST con este comportamiento? La misión principal de la División de Ciberseguridad Aplicada del NIST es explorar, medir y evaluar tanto la guía de ciberseguridad que proporciona el NIST como las mejores prácticas de la industria. Uno de nuestros proyectos actuales implica poner en práctica las prácticas descritas en el Marco de desarrollo de software seguro (SSDF) NIST 800-218. Mucha gente piensa en la actualización de software en el contexto de “eso que sucede aleatoriamente después de comprar un software”… pero los entornos de integración y entrega continuas (CI/CD) actuales, y el rápido ritmo de evolución del software, unen estrechamente el software. actualizaciones en la funcionalidad diaria de muchos sistemas. Debido a que estas modalidades ofrecen nuevas funciones e importantes actualizaciones de seguridad para los clientes, es vital que todo el proceso de desarrollo y la cadena de suministro sean seguros. Nuestro trabajo en el Centro Nacional de Excelencia en Ciberseguridad (NCCoE) construirá una implementación de referencia de múltiples canales de desarrollo de software seguro. El principal resultado de proyectos como estos será un software más seguro. Los recursos que surjan de este proyecto NCCoE brindarán a las personas y equipos de desarrolladores las herramientas y la orientación que necesitan para producir y mantener software más seguro. Esto les permitirá lanzar software de forma más rápida y eficaz para que sus usuarios lo actualicen, protegiéndose mejor a sí mismos y a sus organizaciones. El perfil de la línea de base central de IoT para productos de IoT de consumo es una guía del Grupo de Trabajo de Internet de las Cosas (IoT) del NIST que identifica las medidas de ciberseguridad comúnmente necesarias para los productos de IoT de consumo, de las cuales la “actualización de software” es una capacidad central. Esta es información importante que tanto los clientes como los fabricantes deben tener en cuenta en el momento de la compra y durante el desarrollo. ¿Cómo ayuda la actualización de software a las personas y/o empresas en lo que respecta a la ciberseguridad? por que es tan importante? Durante los últimos 40 años, el software como producto se ha transformado de estático y discreto a fluido y nebuloso. La relación de las personas con el software utilizado es más parecida a la de otras herramientas físicas de nuestras vidas. Los compraste, los llevaste a casa y los usaste. Ahora, con la ubicuidad de Internet, el software puede cambiar casi constantemente. Es como si abrieras tu caja de herramientas y descubrieras que tu confiable destornillador había cambiado sutilmente (o completamente). Ya sean las aplicaciones que el usuario promedio de un teléfono inteligente tiene en su bolsillo o los microservicios que impulsan la infraestructura interna de una corporación, el software cambia y se actualiza más rápidamente que nunca. El mundo actual de cosas que se mueven rápido y rompen, junto con la necesidad de un tiempo de comercialización cada vez más rápido, requiere la entrega constante de actualizaciones de software para actualizaciones de funciones, corrección de errores y parches de seguridad. La seguridad en el panorama moderno de la cadena de suministro de software también se ha vuelto cada vez más compleja. Con equipos de desarrollo distribuidos dentro y alrededor de los límites de las redes corporativas tradicionales y la creciente dependencia del código que se origina fuera de la organización (es decir, código abierto, bibliotecas de terceros y software como servicio), hay más necesidad que nunca de codificación y certificación de prácticas de desarrollo seguras. Sólo a través de estas acciones las personas y las empresas pueden aplicar actualizaciones a sus sistemas de software de manera oportuna y efectiva. Dado que los usuarios pueden estar realizando más trabajo en dispositivos personales a través de programas BYOD (traiga su propio dispositivo) y trabajando a través de redes menos seguras (por ejemplo, trabajar desde casa, una cafetería o un hotel durante las vacaciones), se vuelve aún más complicado. Es más importante mantener el software actualizado. La superficie de ataque ha aumentado y hay más vías para que los atacantes entren. Ahora, más que nunca, los atacantes están aprovechando las vulnerabilidades descubiertas recientemente para ingresar a dispositivos y sistemas. Como tal, una de las acciones más sencillas que puede realizar para mejorar la protección de sus finanzas, datos, seguridad, etc. es instalar actualizaciones de software tan pronto como estén disponibles. Si no lo hace, se está poniendo a usted y a su empresa en mayor riesgo. ¿Qué está haciendo actualmente el NIST en esta área (o planificando para el futuro)? Michael y Paul: El proyecto Cadena de suministro de software y prácticas de seguridad de DevOps en el NCCoE reunirá a expertos en el campo del desarrollo de software para crear implementaciones de referencia de procesos de desarrollo de software seguros. El panorama del desarrollo de software es increíblemente diverso; Si bien ninguna implementación única puede aspirar a ser la definición autorizada de ciberseguridad para todas las organizaciones, nuestro objetivo es construir múltiples canales altamente relevantes que modelen entornos del mundo real. Para ello, el proyecto se centrará en dos casos de uso para el desarrollo de software: 1) desarrollo de software libre y de código abierto (FOSS) y 2) desarrollo de software de código cerrado. Como ocurre con la mayoría de los proyectos NCCoE, el resultado de este proyecto será una guía de referencia que no solo detallará cómo construimos cada uno de nuestros entornos, sino que también describirá cómo las elecciones de diseño que tomamos logran los resultados descritos en el Marco de desarrollo de software seguro (SSDF). ). Todavía estamos en el proceso de establecer colaboradores. ¡Estén atentos al sitio web del NCCoE para obtener actualizaciones! Paul: Si bien no está directamente relacionado con las actualizaciones de software, el proyecto Trusted IoT Device Network-Layer Onboarding and Lifecycle Management tiene como objetivo demostrar mecanismos para que los fabricantes y proveedores de servicios conecten inicialmente productos de IoT y mantengan su seguridad durante todo su ciclo de vida (es decir, a través de actualizaciones de dispositivos individuales). dispositivos y/o sistemas de red). Además, como se mencionó anteriormente, el Grupo de Trabajo de IoT del NIST desarrolló una guía para fabricantes de dispositivos de IoT de consumo. Los resultados de las 10 capacidades básicas descritas son vitales para una buena ciberseguridad, y la “actualización de software” es una de ellas. Se nos ha encomendado la tarea de desarrollar un perfil de esta guía publicada anteriormente centrándose en los enrutadores. La “Actualización de software” volverá a ser una capacidad central, pero como el enrutador suele ser el principal punto de entrada de una red, es aún más importante mantener actualizado el software de estos dispositivos. ¿Por qué es importante la ciberseguridad para usted personalmente? Michael: La ciberseguridad es un tema que nos afecta en todos los niveles de nuestra vida moderna: desde mi propia seguridad y propiedad personal hasta la seguridad de la nación y nuestra economía. La ciberseguridad es importante para mí porque puedo ver y emocionarme por todo lo bueno que la tecnología puede aportar, pero sé que debemos salvaguardar ese potencial para proteger el bien común. Paul: La ciberseguridad es un campo apasionante y de ritmo rápido. Es increíblemente importante (y no siempre es fácil hacerlo bien). Ahora que todo se vuelve digital, la ciberseguridad se ha vuelto aún más importante. A medida que las cuentas financieras, los documentos de identificación, la información privada y los controles físicos se vuelven más accesibles en línea, los riesgos continúan aumentando. Reconozco mi responsabilidad de protegerme a mí mismo y a quienes me rodean, y animo a otros a hacer lo mismo. Ser consciente (y difundir esa conciencia) es el primer paso, pero tomar acciones simples, como aplicar o habilitar actualizaciones automáticas, es el segundo. El software IoT está evolucionando rápidamente, poniendo en línea más datos, sensores y controles. Si bien es emocionante y a veces puede parecer mágico, también es motivo de precaución y mayor acción. ¿Qué es lo que más te gusta (o tu mejor recuerdo) de trabajar en el NIST? Michael: Lo que más me gusta de trabajar para el NIST es saber que tengo la posición privilegiada de servir al pueblo estadounidense por el bien común. En el NIST podemos abordar los problemas de la ciberseguridad desde una posición neutral y centrarnos en la ciencia de lo que es verdadero, procesable y mensurable. Paul: Desde mi primera experiencia como pasante de verano, he disfrutado la naturaleza colaborativa del NIST. Tanto en el campus principal de Gaithersburg como en el NCCoE, tenemos la suerte de tener la oportunidad de colaborar con otros ingenieros y científicos internos apasionados, así como con líderes de la industria, para continuar aprendiendo, desarrollando y demostrando soluciones de ciberseguridad de última generación. . Se siente bien trabajar en una tecnología divertida y apasionante que también puede proporcionar inmensos beneficios para el bien común. Para obtener más información sobre la actualización de software, visite nuestra página de recursos del Mes de concientización sobre la ciberseguridad. Ayude también a correr la voz y no olvide interactuar con nosotros NIST en Facebook y X/Twitter (@NIST y @NISTcyber). Únase a las conversaciones sociales utilizando el hashtag #CybersecurityAwarenessMonth y recuerde utilizar el hashtag en sus propios mensajes de divulgación en las redes sociales.