Hace un año hoy, el Instituto Nacional de Estándares y Tecnología (NIST) publicó el primer estándar oficial para los algoritmos de criptografía posterior al quantum (PQC). El estándar fue el resultado de un memorándum 2022 de la administración Biden que requiere que las agencias federales pasen a la seguridad basada en PQC para 2035. La cristptografía se basa en problemas matemáticos que son casi imposibles de resolver, pero fácil de verificar si una solución es correcta. Armado con tales problemas matemáticos, solo el titular de una clave secreta puede verificar su solución y obtener acceso a los datos secretos. Hoy, la mayoría de la criptografía en línea se basa en uno de los dos de estos algoritmos: la criptografía RSA o la curva elíptica. La causa de preocupación es que las computadoras cuánticas, si se construye una lo suficientemente grande, harían un trabajo fácil de los problemas «duros» que subyacen a los métodos criptográficos actuales. Afortunadamente, hay otros problemas matemáticos que parecen ser igualmente difíciles para las computadoras cuánticas y sus contrapartes clásicas existentes. Esa es la base de la criptografía posterior al quanto: criptografía que es segura contra las computadoras cuánticas hipotéticas. Con las matemáticas detrás de PQC, y los estándares en cuestión, el trabajo de adopción ahora está en marcha. Esta no es una tarea fácil: cada computadora, computadora portátil, teléfono inteligente, automóvil autónomo o dispositivo IoT tendrá que cambiar fundamentalmente la forma en que ejecutan la criptografía. Ali El Kaafarani es investigador en el Instituto Matemático de Oxford que contribuyó al desarrollo de los estándares PQC de NIST. También fundó una compañía, Pqshield, para ayudar a traer criptografía posterior al cuanto al mundo al mundo real ayudando a los fabricantes de equipos originales a implementar los nuevos protocolos. Habló con IEEE Spectrum sobre cómo va la adopción y si los nuevos estándares se implementarán a tiempo para superar la inminente amenaza de las computadoras cuánticas. ¿Qué ha cambiado en la industria desde que salieron los estándares NIST PQC? Ali El Kaafaranipqshieldali El Kaafarani: Antes de que salieran los estándares, mucha gente no hablaba de eso, en el espíritu de «si está funcionando, no lo toques». Una vez que se publicaron los estándares, toda la historia cambió, porque ahora no es una exageración cuántica hipotética, es un problema de cumplimiento. Hay estándares publicados por el gobierno de los Estados Unidos. Hay plazos para la adopción. Y el 2035 [deadline] se unió con la publicación de [the National Security Agency]y fue adoptado en una legislación formal que aprobó el Congreso y, por lo tanto, no hay forma de evitarlo. Ahora es un problema de cumplimiento. Antes, la gente solía preguntarnos: «¿Cuándo crees que vamos a tener una computadora cuántica?» No sé cuándo vamos a tener una computadora cuántica. Pero ese es el problema, porque estamos hablando de un riesgo que puede materializarse en cualquier momento. Algunas otras personas más inteligentes que tienen acceso a una gama más amplia de información decidida en 2015 clasificar la computación cuántica como una amenaza real. Entonces, este año fue un año de transformación, porque la pregunta pasó de «¿Por qué la necesitamos?» a «¿Cómo lo vamos a usar?» Y toda la cadena de suministro comenzó a analizar quién va a hacer qué, desde el diseño de chips hasta la capa de seguridad de la red, hasta la infraestructura nacional crítica, para construir un kit de seguridad de red de post-cuantum. Esa infraestructura va desde los sensores y las llaves del automóvil más pequeños, etc., al servidor más grande que se sienta allí e intenta superar cientos de miles de transacciones por segundo, cada una con diferentes requisitos de seguridad, cada uno con diferentes requisitos de consumo de energía. Ahora ese es un problema diferente. Ese no es un problema matemático, ese es un problema de implementación. Aquí es donde necesita una empresa como Pqshield, donde reunimos ingenieros de hardware e ingenieros de firmware, e ingenieros de software, y matemáticos, y todos los demás a su alrededor realmente dicen: «¿Qué podemos hacer con este caso de uso particular?» Si está funcionando, nadie lo toca. Solo hablan de eso cuando hay una violación, y luego intentan arreglar las cosas. Al final, generalmente ponen bandas en él. Eso es normal, porque las empresas no pueden vender la función de seguridad a los clientes. Solo lo estaban usando cuando los gobiernos los forzaron, como cuando hay un problema de cumplimiento. Y ahora es un problema mucho mayor, ya que alguien les dice: «Sabes qué, toda la criptografía que has estado usando durante los últimos 15 años, 20 años, debes cambiarla, en realidad». No ha sido probado en batalla. Y ahora lo que estamos diciendo es: «Hola, AMD y el resto del hardware o el mundo de los semiconductores van y pongan todos esos nuevos algoritmos en el hardware, y confíen en nosotros, van a funcionar bien, y luego nadie podrá hackearlos y extraer la llave». Eso no es fácil, ¿verdad? Nadie tiene las agallas para decir esto. Es por eso que, en Pqshield, tenemos equipos de vulnerabilidad que están tratando de romper nuestros propios diseños, por separado de aquellos equipos que están diseñando cosas. Tienes que hacer esto. Necesitas estar un paso por delante de los atacantes. Eso es todo lo que necesitas hacer, y eso es todo lo que puedes hacer, porque no puedes decir: «Está bien, tengo algo seguro. Nadie puede romperlo». Si dices eso, vas a comer un pastel humilde dentro de 10 años, porque tal vez alguien encontrará una forma de romperlo. Solo debe hacer esta innovación continua y pruebas de seguridad continuas para sus productos. Porque PQC es nuevo, todavía no hemos visto toda la creatividad de los atacantes que intentan pasar por alto las hermosas matemáticas y encontrar esos ataques creativos y desagradables de canales laterales que solo se ríen de las matemáticas. Por ejemplo, algunos ataques analizan el consumo de energía que el algoritmo está tomando en su computadora portátil y extraen la clave de las diferencias en el consumo de energía. O hay ataques de tiempo que miran cuánto tiempo le lleva cifrar el mismo mensaje 100 veces y cómo está cambiando, y en realidad pueden extraer la clave. Por lo tanto, hay diferentes formas de atacar algoritmos allí, y eso no es nuevo. Simplemente no tenemos miles de millones de estos dispositivos en nuestras manos ahora que tienen la criptografía posterior al plato que la gente ha probado. Progreso en la adopción de PQC, ¿diría que la adopción ha ido tan lejos? Prestando atención, y solo estaban pateando la lata en el camino. La mayoría de los que estaban pateando la lata en el camino son los que no se sientan en la cadena de suministro, porque sentían que era responsabilidad de otra persona. Pero no entendieron que tenían que influir en sus proveedores cuando se trata de sus requisitos y plazos e integración y tantas cosas que tienen que preparar. Esto es lo que está sucediendo ahora: muchos de ellos están haciendo mucho trabajo. Ahora, aquellos que se sientan en la cadena de suministro, muchos de ellos han progresado y han comenzado a incrustar diseños de criptografía posteriores al quantón en los productos nuevos, y están tratando de resolver una forma de actualizar productos que ya están en el terreno. No creo que estemos en un lugar excelente, donde todos están haciendo lo que están haciendo. Ese no es el caso. Pero creo que del año pasado, cuando muchas personas preguntaban «¿Cuándo crees que vamos a tener una computadora cuántica?» y ahora preguntan «¿Cómo puedo cumplir? ¿Dónde crees que debería comenzar? ¿Y cómo puedo evaluar dónde la infraestructura para entender dónde están los activos más valiosos y cómo puedo protegerlos? ¿Qué influencia puedo hacer ejercicio en mis proveedores?» Creo que se han hecho un gran progreso. ¿Es suficiente? Nunca es suficiente en seguridad. La seguridad es muy difícil. Es un tema multidisciplinario. Hay dos tipos de personas: aquellos a quienes les encanta construir productos de seguridad y aquellos a quienes les encantaría romperlos. Estamos tratando de hacer que la mayoría de los que aman para dividirlos en el lado correcto de la historia para que puedan hacer que los productos sean más fuertes en lugar de hacer que los existentes sean vulnerables para la explotación. ¿Crees que vamos a lograrlo para 2035? El Kaafarani: Creo que la mayoría de nuestra infraestructura deberían ser seguros postales en 2035, y eso es algo bueno. Ese es un buen pensamiento. Ahora, ¿qué sucede si las computadoras cuánticas se convierten en realidad antes de eso? Ese es un buen tema para una serie de televisión o para una película. ¿Qué sucede cuando la mayoría de los secretos son legibles? La gente no está pensando lo suficiente al respecto. No creo que nadie tenga una respuesta para eso. De los artículos de su sitio Artículos relacionados en la web
Etiqueta: NIST
El Instituto Nacional de Estándares y Tecnología ha actualizado su Marco de Ciberseguridad para 2024. La versión 2.0 del NIST CSF, la primera actualización importante desde que se lanzó el marco hace una década, se creó con el objetivo de ampliar la audiencia principal desde la infraestructura crítica a todos. organizaciones. En general, el NIST CSF tiene como objetivo estandarizar prácticas para garantizar una protección uniforme de todos los activos cibernéticos de EE. UU. La hoja de referencia de TechRepublic sobre el NIST CSF es una descripción general de esta nueva mejor práctica recomendada por el gobierno e incluye pasos para implementar el marco de seguridad. ¿Qué es el marco de ciberseguridad del NIST? El NIST CSF es un conjunto de estándares opcionales, mejores prácticas y recomendaciones para mejorar la ciberseguridad y la gestión de riesgos a nivel organizacional. El objetivo del CSFl es crear un lenguaje común, un conjunto de estándares y una serie de objetivos fácilmente ejecutables para mejorar la ciberseguridad y limitar el riesgo de ciberseguridad. El NIST tiene documentación exhaustiva sobre el CSF en su sitio web, junto con enlaces a preguntas frecuentes, recursos de la industria y otra información necesaria para facilitar la transición empresarial a un mundo CSF. ¿El marco de ciberseguridad del NIST es sólo para uso gubernamental? El marco NIST no es sólo para uso gubernamental: puede adaptarse a empresas de cualquier tamaño. El CSF afecta a cualquiera que tome decisiones sobre ciberseguridad y riesgos de ciberseguridad en sus organizaciones, y a los responsables de implementar nuevas políticas de TI. Los estándares NIST CSF son opcionales, es decir, no hay penalización para las organizaciones que no deseen seguirlos. Sin embargo, esto no significa que el NIST CSF no sea un punto de partida ideal para las organizaciones: se creó con escalabilidad e implementación gradual para que cualquier empresa pueda beneficiarse y mejorar sus prácticas de seguridad y prevenir un evento de ciberseguridad. ¿Se aplica el marco de ciberseguridad del NIST fuera de los Estados Unidos? Aunque el NIST CSF es una publicación del gobierno de EE. UU., puede resultar útil para las empresas a nivel internacional. El NIST CSF está alineado con la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. La versión 2.0 probablemente será traducida por voluntarios de la comunidad en el futuro, dijo el NIST. Los resultados de ciberseguridad descritos en el CSF son “neutrales en cuanto a sector, país y tecnología”, escribió el NIST en la Versión 2.0. VER: Todas las hojas de trucos de TechRepublic ¿Por qué se creó el marco NIST? El mundo de la ciberseguridad está fragmentado, a pesar de su importancia cada vez mayor para las operaciones comerciales diarias. Las organizaciones no comparten información, los profesionales de TI y los ejecutivos de nivel C eluden sus propias políticas y las organizaciones hablan sus propios lenguajes de ciberseguridad. El objetivo del NIST con la creación del CSF es ayudar a eliminar el caótico panorama de ciberseguridad en el que nos encontramos. ¿Cuándo se creó el Marco de Ciberseguridad del NIST? El expresidente Barack Obama firmó la Orden Ejecutiva 13636 en 2013, titulada Mejora de la ciberseguridad de las infraestructuras críticas, que preparó el escenario para el Marco de Ciberseguridad del NIST que se publicó en 2014. La orden ejecutiva de ciberseguridad de 2017 del expresidente Donald Trump fue un paso más allá e hizo que el marco creado por La orden de Obama en la política del gobierno federal. La versión 2.0 del NIST CSF se creó en conjunto con la Estrategia Nacional de Ciberseguridad de marzo de 2023 bajo la presidencia de Joe Biden. Cobertura de seguridad de lectura obligada ¿Qué hay de nuevo en la versión 2.0 del marco de ciberseguridad del NIST? La versión 2.0 del NIST CSF amplía el alcance del marco desde la infraestructura crítica a organizaciones en todos los sectores y agrega un nuevo énfasis en la gobernanza. La parte de gobernanza posiciona la ciberseguridad como una de las fuentes más importantes de riesgo empresarial que los altos líderes empresariales deberían considerar, junto con las finanzas, la reputación y otros. El NIST CSF 2.0 incluye guías de inicio rápido, herramientas de referencia y guías de perfil organizacional y comunitario. Las herramientas de referencia se crearon para proporcionar a las organizaciones una forma simplificada de implementar el CSF en comparación con la versión 1.1. La versión 2.0 del NIST CSF agrega: La función de «gobierno», que se centra en cómo las organizaciones pueden tomar decisiones informadas con respecto a su estrategia de ciberseguridad. Ejemplos de implementación y referencias informativas, que se actualizarán en línea periódicamente. Perfiles organizacionales, que pueden ayudarlos a determinar su situación actual. estado en términos de ciberseguridad y a qué estado podrían querer pasar. ¿Cuáles son las 6 actividades principales del Marco NIST? A partir de la Versión 2.0 del Marco NIST, estas son las seis actividades principales: identificar, proteger, detectar, responder, recuperar y gobernar. Estas actividades, o funciones, del Marco NIST se utilizan para organizar los esfuerzos de ciberseguridad en el nivel más básico. ¿Cuáles son los cuatro componentes del marco de ciberseguridad del NIST? El marco se divide en cuatro componentes: Núcleo, Perfiles Organizacionales, Niveles y Referencias Informativas. Básico El componente principal es “un conjunto de actividades para lograr resultados específicos de ciberseguridad y hace referencia a ejemplos de orientación para lograr esos resultados”. Además, se divide en tres elementos: funciones, categorías y subcategorías. Funciones: En este apartado se explican las seis funciones: Identificar, proteger, detectar, responder, recuperar y gobernar. Juntas, estas seis funciones forman un enfoque de alto nivel para proteger los sistemas y responder a las amenazas. Piense en ellas como sus tareas básicas de gestión de incidentes. Categorías: cada función contiene categorías que se utilizan para identificar tareas o desafíos específicos dentro de ella. Por ejemplo, la función de protección podría incluir control de acceso, gestión de identidad, seguridad de datos y seguridad de plataforma. Subcategorías: Son divisiones adicionales de categorías con objetivos específicos. La categoría de seguridad de los datos podría dividirse en tareas como proteger los datos en reposo, en tránsito y en uso o crear, proteger, mantener y probar copias de seguridad. Perfiles organizacionales Los perfiles son tanto esquemas del estado actual de ciberseguridad de una organización como hojas de ruta hacia los objetivos del CSF para posturas de seguridad más sólidas. El NIST dijo que tener múltiples perfiles, tanto actuales como objetivos, puede ayudar a una organización a encontrar puntos débiles en sus implementaciones de ciberseguridad y facilitar el paso de niveles inferiores a superiores. Los perfiles ayudan a conectar las funciones, categorías y subcategorías con los requisitos comerciales, la tolerancia al riesgo y los recursos de la organización más grande a la que sirve. Niveles Hay cuatro niveles de implementación y, si bien los documentos del CSF no los consideran niveles de madurez, los niveles más altos se consideran una implementación más completa de los estándares del CSF para proteger la infraestructura crítica. NIST considera que los niveles son útiles para informar los perfiles actuales y de destino de una organización. Nivel 1: denominada implementación parcial, las organizaciones del Nivel 1 tienen una postura de ciberseguridad reactiva y ad hoc para proteger sus datos. Tienen poca conciencia del riesgo de ciberseguridad organizacional y cualquier plan implementado a menudo se realiza de manera inconsistente. Nivel 2: En el nivel llamado informado sobre riesgos, las organizaciones pueden estar aprobando medidas de ciberseguridad, pero la implementación aún es poco sistemática. Son conscientes de los riesgos, tienen planes y cuentan con los recursos adecuados para protegerse de una violación de datos, pero no han llegado a un punto proactivo. Nivel 3: El tercer nivel se llama repetible, lo que significa que una organización ha implementado los estándares NIST CSF en toda la empresa y es capaz de responder repetidamente a las crisis cibernéticas. La política se aplica de manera consistente y los empleados están informados de los riesgos. Nivel 4: llamado adaptativo, este nivel indica la adopción total del NIST CSF. Las organizaciones adaptables no sólo están preparadas para responder a las amenazas cibernéticas: detectan amenazas de forma proactiva y predicen problemas en función de las tendencias actuales y su arquitectura de TI. Referencias informativas y otros recursos en línea Las Referencias informativas proporcionadas con la Versión 2.0 del CSF son documentación, pasos para la ejecución, estándares y otras pautas. Un buen ejemplo en la categoría de actualización manual de Windows sería un documento que describa los pasos para actualizar manualmente las PC con Windows. En la versión 2.0, las referencias informativas, los ejemplos de implementación y las guías de inicio rápido se pueden encontrar a través del sitio web del NIST CSF o del documento CSF. ¿Cuándo se actualiza el marco de ciberseguridad del NIST? A medida que cambian las necesidades de las organizaciones, el NIST planea actualizar continuamente el CSF para mantenerlo relevante. Las actualizaciones del CSF se realizan como parte de la conferencia anual del NIST sobre el CSF y tienen en cuenta los comentarios de los representantes de la industria, por correo electrónico y mediante solicitudes de comentarios y solicitudes de información que el NIST envía a grandes organizaciones. ¿Qué organizaciones pueden utilizar el marco de ciberseguridad del NIST? El NIST CSF afecta a todos los que tocan una computadora por motivos comerciales. Los equipos de TI y los CXO son responsables de implementarlo; los empleados regulares son responsables de seguir los estándares de seguridad de su organización; y los líderes empresariales son responsables de capacitar a sus equipos de seguridad para proteger su infraestructura crítica. Específicamente, la nueva función de gobierno del NIST CSF 2.0 incluye canales de comunicación entre ejecutivos, gerentes y profesionales: cualquiera que tenga interés en la salud tecnológica de la empresa. El grado en que el NIST CSF afectará a la persona promedio tampoco disminuirá con el tiempo, al menos no hasta que se implemente de manera generalizada y se convierta en el nuevo estándar en la planificación de la ciberseguridad. ¿Cómo puedo implementar el marco de ciberseguridad del NIST? Comience a trabajar en la implementación del CSF visitando el sitio web del Marco de ciberseguridad del NIST. De particular interés para los tomadores de decisiones de TI y los profesionales de seguridad es la página de Recursos Marco del NIST, donde encontrará metodologías, pautas de implementación, estudios de casos, materiales educativos, perfiles de ejemplo y más. «El CSF no prescribe cómo se deben lograr los resultados», señala el NIST en el marco. «Más bien, enlaza con recursos en línea que brindan orientación adicional sobre prácticas y controles que podrían usarse para lograr esos resultados». El NIST CSF puede mejorar la postura de seguridad de organizaciones grandes y pequeñas, y potencialmente podría posicionarlo como líder en prácticas de ciberseguridad con visión de futuro o prevenir un evento catastrófico de ciberseguridad.