Lo que significa la nueva política de seguridad del presidente Biden para el futuro de la ciberseguridad

Este artículo publicado originalmente el LinkedIn de Andrew Rubin.

La Administración Biden acaba de cimentar su legado en política de ciberseguridad con una amplia Orden Ejecutiva destinada a mejorar la resiliencia y reducir el riesgo del Gobierno de los Estados Unidos. Es la primera vez que nuestro gobierno intenta reescribir su plan de ciberseguridad en casi dos décadas, y no llega demasiado pronto. Ahora más que nunca, los adversarios tienen el tiempo, el personal y los recursos para buscar métodos novedosos de intrusión y, como lo demuestran los recientes ataques de Colonial Pipeline y SolarWinds, están viendo un éxito a gran escala en sus esfuerzos de explotación.

Esto no es solo un problema estadounidense, o un problema federal, o un problema de política: un contagio de complacencia se infiltró en el sistema. Es por eso que doy la bienvenida a esta Orden Ejecutiva con los brazos abiertos, porque es un llamado a la acción de que debemos cambiar la forma en que nos protegemos.

Adelantar a la curva

El gobierno federal de EE. UU. estuvo lamentablemente atrasado en la modernización de la tecnología de la información y la ciberseguridad durante bastante tiempo. El secretario del Departamento de Seguridad Nacional de EE. UU., Alejandro Mayorkas, expresó mejor el estado actual de la ciberseguridad federal en Estados Unidos cuando compartió su visión de la resiliencia cibernética nacional el 31 de marzo: "Nuestro gobierno fue pirateado el año pasado y no lo supimos durante meses. No fue hasta que una de las mejores compañías de ciberseguridad del mundo fue hackeada y alertó al gobierno que nos enteramos. Este incidente es uno de los muchos que subrayan la necesidad de que el gobierno federal modernice las defensas de ciberseguridad y profundice nuestras asociaciones".

¿Cómo es que uno de los países más ricos e innovadores del mundo estuvo históricamente detrás de la pelota cuando se trata de cerciorar la infraestructura nacional? Uno pensaría que los miles de millones de dólares federales que se destinan a cerciorar los activos del gobierno mitigarían el impacto de las amenazas externas.

Pero el problema no es que carezcamos de los recursos, el talento o el acceso a las mejores tecnologías de defensa cibernética de su clase: luego de todo, Estados Unidos es el orgulloso hogar de muchos líderes mundiales de ciberseguridad. En cambio, lo que creo que el secretario Mayorkas estaba presentando es una acusación de todo el modelo de ciberseguridad, si no para el mundo, al menos para el gobierno federal.

A nivel mundial, gastamos $ 173 mil millones en ciberseguridad el año pasado, sin embargo, tenemos más infracciones que en cualquier otro momento de la historia, y son las infracciones más catastróficas de todos los tiempos. A pesar de nuestra estrategia fallida y nuestros terribles resultados, seguimos adoptando el mismo enfoque de ciberseguridad hoy que hace 20 años. Las organizaciones intentan evitar que los ataques se infiltren en el perímetro, luego detectan los ataques cuando se cuelan y confían en la respuesta a incidentes para limpiar el desorden.

Los días en que la prevención y la detección por sí solas salvaron a su agencia, compañía u organización se fueron. Hay ataques en su infraestructura en este momento que no sabe que están allí. Se están escondiendo. Se están disfrazando. Están tratando de mover para robar su IP, datos de clientes y secretos gubernamentales o retenerlo todo para pedir un rescate. Y, lamentablemente, nuestro enfoque actual de ciberseguridad hace poco para evitar que estos ataques se conviertan en desastres cibernéticos a gran escala.

Pasando a la Zona Cero

Esta Orden Ejecutiva finalmente reconoce que el modelo federal de ciberseguridad está desactualizado al presentar el primer borrador del nuevo diseño de seguridad. El nuevo enfoque se puede resumir en dos palabras: Zero Trust.

Elija un proveedor y encontrará un millón de definiciones de Zero Trust. Forrester publicitó el término hace más de una década, y un blog reciente del analista de Forrester Steve Turner lo expresó de esta manera: "Zero Trust no es un producto o plataforma; Es un marco de seguridad construido en torno al concepto de 'nunca confíe, siempre verifique' y 'asumir una infracción'".

En términos de cómo se ve Zero Trust a nivel federal, habrá un serial de componentes básicos para la implementación exitosa y el logro de una estrategia de Zero Trust. El acceso, la identidad y la segmentación son tres tecnologías centrales que creo que se requerirán a escala. Si empleó Google Authenticator, Authy o cualquier otra aplicación de autenticación multifactor, entonces dio un paso hacia Zero Trust, por ejemplo. Pero hay principios fundamentales de diseño que se requieren sin importar la definición que siga.

Como principio de partida, el gobierno federal debe operar bajo la mentalidad de "asumir la infracción", que es la mentalidad de que los ataques ya están en la infraestructura y que los nuevos ataques volverán a pasar en el futuro. Desde ese punto de partida estratégico, las defensas cibernéticas federales pueden preparar mejor para detener el movimiento adversario de ataques a través de una nube, red o centro de datos. Aprendimos por las malas que el 99.9% de efectividad no es suficiente cuando el .1% de las infracciones cuestan a los contribuyentes miles de millones de dólares u obligan al cierre de infraestructura crítica, como oleoductos de combustible estratégicos. En cambio, se trata de preparar para las infracciones de manera proactiva, para que las organizaciones puedan mitigar su alcance e impacto.

Para expandir un poco más, el gobierno debe seguir los principios de Privilegio Mínimo y Confianza Explícita. Esto significa que las comunicaciones a través de su infraestructura (entre aplicaciones, redes, nubes, centros de datos o dispositivos) deben tener la menor cantidad de privilegios posible en todo momento, y se debe exigir a las agencias que confíen explícitamente en las comunicaciones antes de que se les permita tener lugar entre esos sistemas. Estos principios, por ejemplo, podrían evitar que el ataque de SolarWinds causara tanto daño. El malware estuvo en la infraestructura pero aislado e incapaz de causar un daño tan generalizado.

La nueva cibernormalidad

Como explicó el secretario Mayorkas, "Debemos cambiar fundamentalmente nuestra mentalidad y reconocer que la defensa debe ir de la mano con la resiliencia. Se necesitan urgentemente innovaciones audaces e inmediatas, inversiones a gran escala y elevar el nivel de la higiene cibernética esencial para mejorar nuestras defensas cibernéticas. Necesitamos priorizar las inversiones dentro y fuera del gobierno en consecuencia".

Zero Trust es más que un marco nacional de ciberseguridad: es algo que cualquier corporación, organización o individuo puede adoptar para lograr una verdadera resiliencia cibernética. Lo que la Administración Biden está abogando no es un derrocamiento de las herramientas y tecnologías de seguridad que impulsan y protegen el mundo actual, sino una mentalidad estratégica para complementar esas soluciones, con el fin de reforzar aún más nuestras defensas de ciberseguridad y amplificar nuestra preparación.

La modernización federal de la ciberseguridad obviamente no puede ocurrir de una sola vez, pero debe comenzar con controles diseñados para aislar la actividad maliciosa una vez que ya penetraron en las redes federales. Debe comenzar con una mentalidad de incumplimiento asumido, en todas las agencias. Y debe comenzar con la adopción de estrategias de Zero Trust a escala.