Un nuevo informe de la Casa Blanca se centra en proteger la informática en la raíz de los ciberataques; en este caso, reduciendo la superficie de ataque con lenguajes de programación seguros para la memoria como Python, Java y C# y promoviendo la creación de medidas estandarizadas para la seguridad del software.
El informe insta a los profesionales de la tecnología a:
- Implementar lenguajes de programación seguros para la memoria.
- Desarrollar y respaldar nuevas métricas para medir la seguridad del hardware.
Este informe, titulado Regreso a los componentes básicos: un camino hacia un software seguro y medible, pretende transmitir a los profesionales de TI y líderes empresariales algunas de las prioridades del gobierno de EE. UU. cuando se trata de proteger el hardware y el software en la fase de diseño. El informe es un llamado a la acción sugerida, con consejos y pautas flexibles.
“Incluso si se solucionaran todas las vulnerabilidades conocidas, la prevalencia de vulnerabilidades no descubiertas en todo el ecosistema de software aún presentaría un riesgo adicional”, afirma el informe. “Un enfoque proactivo que se centra en eliminar clases enteras de vulnerabilidades reduce la superficie de ataque potencial y da como resultado un código más confiable, menos tiempo de inactividad y sistemas más predecibles”.
Las vulnerabilidades de seguridad de la memoria son una preocupación en los lenguajes de programación
Las vulnerabilidades de seguridad de la memoria existen desde hace más de 35 años, señala el informe, sin que aparezca ninguna solución. Los autores del informe afirman que no existe una solución milagrosa para todos los problemas de ciberseguridad, aunque el uso de lenguajes de programación con seguridad de memoria incorporada puede reducir una gran cantidad de posibles tipos de ataques cibernéticos.
La ONCD señala que C y C++ son lenguajes de programación muy populares utilizados en sistemas críticos pero no son seguros para la memoria. Rust es un lenguaje de programación seguro para la memoria, pero no ha sido probado en el tipo de sistemas aeroespaciales que el gobierno desea proteger particularmente.
Los creadores de software y hardware son las partes interesadas más relevantes para hacerse cargo de la creación de hardware seguro para la memoria, dijo la ONCD. Esas partes interesadas podrían trabajar en la creación de nuevos productos en lenguajes de programación seguros para la memoria o en la reescritura de funciones o bibliotecas críticas.
¿Qué lenguajes de programación son seguros para la memoria?
Python, Java, C#, Go, Delphi/Object Pascal, Swift, Ruby, Rust y Ada son algunos lenguajes de programación seguros para la memoria, según un informe de la NSA de abril de 2023.
Nuevas métricas para medir la seguridad del software
El informe afirma que “es fundamental desarrollar métricas empíricas que midan la calidad de la ciberseguridad del software”. Este es un esfuerzo más difícil que cambiar a lenguajes de programación seguros para la memoria; después de todo, los desafíos y beneficios de crear métricas o herramientas generales para medir y evaluar la seguridad del software se han discutido durante décadas.
Desarrollar métricas para medir la seguridad del software es difícil por tres razones principales:
- La ingeniería de software puede ser tanto un arte como una ciencia, y la mayor parte del software no es uniforme.
- El comportamiento del software puede ser muy impredecible.
- El desarrollo de software avanza muy rápidamente.
Para superar estos desafíos, la ONCD señala que cualquier métrica desarrollada para evaluar la seguridad del software debería ser monitoreada y abierta a cambios constantemente, y el software debería medirse de forma dinámica, no estática.
Respuesta de la industria a las prioridades del informe
El analista vicepresidente de Gartner, Paul Furtado, dijo a TechRepublic por correo electrónico que “en última instancia, todo lo que podemos hacer para minimizar el potencial de un incidente de seguridad es beneficioso para el mercado”. Señaló que las empresas pueden tener un largo camino por recorrer para reducir su superficie de ataque utilizando métodos como los sugeridos en el informe de la ONCD.
“Incluso dentro de las aplicaciones desarrolladas internamente se depende de bibliotecas de códigos subyacentes. Todos estos entornos y aplicaciones tienen algún nivel de deuda tecnológica”, dijo Furtado. “Hasta que la deuda tecnológica se aborde en toda la cadena, el riesgo subyacente persiste, aunque se comience a reducir la superficie de ataque. El informe proporciona un camino a seguir para centrarse en nuevos desarrollos, pero la realidad es que faltarán muchos años para abordar toda la deuda tecnológica residual que aún puede dejar a las organizaciones susceptibles de ser explotadas”.
VER: Prepárese para el panorama de ciberseguridad del futuro en los principales eventos tecnológicos de 2024. (TechRepublic)
Algunas grandes organizaciones tecnológicas ya están de acuerdo con las recomendaciones del informe.
“Creemos que la adopción de lenguajes seguros para la memoria presenta una oportunidad para mejorar la seguridad del software y proteger aún más la infraestructura crítica de las amenazas a la ciberseguridad”, dijo Juergen Mueller, director de tecnología de SAP, en una declaración a la ONCD.
“Felicito a la Oficina del Director Cibernético Nacional por dar el importante primer paso más allá de la política de alto nivel, traduciendo estas ideas en llamados a la acción que las comunidades técnicas y empresariales puedan entender”, dijo Jeff Moss, presidente de DEFCON y Black Hat. , en declaraciones a la ONCD. “Apoyo la recomendación de adoptar lenguajes de programación seguros para la memoria en todo el ecosistema porque hacerlo puede eliminar categorías enteras de vulnerabilidades que hemos estado curando durante los últimos treinta años”.
Conclusiones para la alta dirección sobre áreas de interés para la ciberseguridad
El informe señala que la seguridad no está sólo en manos del director de seguridad de la información de una empresa que utiliza el software afectado; en cambio, los directores de información, que tomarán la iniciativa en la compra de software, y los directores de tecnología de las empresas que fabrican software en particular deberían compartir la responsabilidad de los esfuerzos de ciberseguridad entre sí y con el CISO.
Estos líderes deberían fomentar la ciberseguridad en tres áreas principales, según el informe:
- Desarrollo de software – de mayor interés para los CTO y CIO.
- El análisis de productos de software. – de mayor interés para los CTO y CIO.
- Un entorno de ejecución resistente – de mayor interés para los CISO.