Home Concientización El gobierno de EE.UU. publica una guía de seguridad de código abierto...

El gobierno de EE.UU. publica una guía de seguridad de código abierto para infraestructura crítica

El gobierno de EE.UU. ha publicado una guía sobre cómo proteger el software de código abierto (OSS) en entornos de infraestructura crítica de tecnología operativa (OT).

El aviso conjunto, publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad Nacional (NSA) y el Departamento del Tesoro de EE. UU., está diseñado para ayudar al personal de operaciones y liderazgo superior en OT y Los sistemas de control industrial (ICS) gestionan mejor el riesgo derivado del uso de OSS.

El documento describió las mayores consecuencias de los incidentes cibernéticos en organizaciones de infraestructura crítica debido a las implicaciones asociadas para la seguridad de la vida.

Además, las agencias señalaron que las prácticas básicas de higiene cibernética, como actualizar el software en los sistemas de TI cuando hay un parche disponible, debido a los posibles efectos adversos sobre otro software dependiente y los riesgos operativos.

Parchar OSS en estos entornos es particularmente desafiante ya que es difícil saber si ciertos módulos de software y sus vulnerabilidades asociadas están presentes y/o son explotables.

Por lo tanto, el gobierno de EE. UU. estableció una serie de recomendaciones para mejorar la seguridad del OSS en OT/ICS, defendiendo un enfoque de seguridad desde el diseño:

Soporte de proveedores para el desarrollo y mantenimiento de OSS. La guía señaló que el OSS a menudo lo desarrollan y mantienen voluntarios. Por lo tanto, toda organización que utilice OSS debe respaldar este ecosistema tomando medidas como participar en OSS y programas de subvenciones, asociarse con fundaciones de OSS existentes y realizar esfuerzos de colaboración, y respaldar la adopción de herramientas de seguridad y mejores prácticas en el ciclo de vida del desarrollo de software.

Gestionar vulnerabilidades. Como OSS y OT tienen características únicas, las agencias recomendaron utilizar identificadores de vulnerabilidad comunes para simplificar la gestión de vulnerabilidades. Estos incluyen los servicios de CISA Cyber Hygiene para permitir una revisión adicional de los activos accesibles a Internet de las organizaciones y una guía de coordinación de vulnerabilidades, como el establecimiento de un programa de divulgación coordinada de vulnerabilidades (CVD) y la notificación de fallas al desarrollador correspondiente.

Gestión de parches. Reiniciar un sistema OT para aplicar un parche puede tener grandes costos operativos o comerciales, lo que requiere un enfoque único para la implementación del parche. Se anima a los proveedores de ICS a optimizar los procesos de desarrollo de software con los clientes, eliminando la complejidad de programar ventanas de mantenimiento. Además, las organizaciones de OT e ICS deben mantener un inventario de activos actualizado e identificar las vulnerabilidades que deben corregirse en función de esta información.

Mejorar las políticas de autenticación y autorización. La guía señaló que estos controles pueden ser difíciles de implementar correctamente en entornos OT. Las prácticas de autenticación y autorización se pueden mejorar a través de pasos como el uso de cuentas que identifiquen de manera única y verificable a usuarios individuales, evitando el uso de credenciales codificadas, contraseñas predeterminadas y configuraciones débiles, e implementando soluciones de administración de usuarios centralizadas.

Establecer un marco común. Las agencias proporcionaron una variedad de recomendaciones para establecer una cultura que aborde las preocupaciones de seguridad y ciberseguridad de los sistemas críticos. Esto incluye desarrollar y respaldar una Oficina de Programas de Código Abierto (OSPO) y crear una lista específica de requisitos específicos de OT/ICS que constituye lo que hace que un producto sea mínima y viablemente seguro.

La guía forma parte de esfuerzos más amplios del gobierno de EE. UU. para mejorar la seguridad de la cadena de suministro de software y fortalecer la resiliencia de la infraestructura nacional crítica, como se establece en su Estrategia Nacional de Ciberseguridad publicada a principios de este año.