(Credit: Rob Pegoraro)
Δύο κυβερνητικοί αξιωματούχοι των ΗΠΑ ήρθαν στο Black Hat με μερικές συμβουλές ασφαλείας που ήταν πολύ πιο συγκεκριμένες από τα υψηλού επιπέδου σημεία συζήτησης που θα περίμεναν οι συμμετέχοντες από την Ουάσινγκτον.
Μεταξύ των εφαρμόσιμων συμβουλών που προσέφεραν ο Bob Lord και ο Jack Cable, και οι δύο ανώτεροι τεχνικοί σύμβουλοι στην Υπηρεσία Ασφάλειας Κυβερνοχώρου και Υποδομών (CISA), στους προμηθευτές τεχνολογίας:
- Να στραφούν στη συγγραφή λογισμικού σε γλώσσες με ασφάλεια μνήμης που αντιστέκονται στις επιθέσεις buffer-overflow
- Παρέχετε μια λίστα υλικών λογισμικού για κάθε έκδοση, ώστε να μην υπάρχει κανένα μυστήριο σχετικά με τα συστατικά και τις βιβλιοθήκες της
- Διατηρήστε μια πολιτική αποκάλυψης ευπαθειών με νομική ασφάλεια για τους ερευνητές ασφάλειας
- Εξάλειψη των προεπιλεγμένων κωδικών πρόσβασης που οι χρήστες μπορεί να μην αλλάξουν ποτέ
- Να προσφέρετε single-sign-on χωρίς επιπλέον κόστος αντί να χρεώνετε επιπλέον για κάθε χρήστη που χρησιμοποιεί αυτή την ασφαλέστερη επιλογή ελέγχου ταυτότητας
- Παρέχετε έλεγχο ταυτότητας πολλαπλών παραγόντων για να διασφαλίσετε ότι η παραβίαση ενός κωδικού πρόσβασης δεν θα έχει ως αποτέλεσμα την απώλεια ενός λογαριασμού
- Προσφέρετε υψηλής ποιότητας αρχεία καταγραφής ελέγχου χωρίς επιπλέον χρέωση
- Να καταστήσετε παρωχημένη την έννοια του "hardening guide" που λέει στους πελάτες πώς να κλειδώσουν το προϊόν, εξασφαλίζοντας ότι είναι ασφαλές από την αρχή.
Οι συμβουλές αυτές δόθηκαν στο πλαίσιο της πρωτοβουλίας Secure By Design της CISA, στο πλαίσιο της οποίας ο εν λόγω οργανισμός προσπαθεί να προωθήσει την υιοθέτηση βέλτιστων πρακτικών ασφαλείας από τους προμηθευτές τεχνολογίας, ώστε οι πελάτες να μην μένουν πλέον με τις δικές τους λίστες εργασιών ασφαλείας.
"Θέλουμε να είναι οι ίδιοι υπεύθυνοι για τα αποτελέσματα της ασφάλειας του προϊόντος τους", δήλωσε ο Cable. "Όπου κι αν αναπτύσσεται, από προεπιλογή, από το σχεδιασμό, είναι ασφαλές".
Τους παρότρυνε να εφαρμόσουν "ριζική διαφάνεια και λογοδοσία" -προσθέτοντας ότι αυτό δεν σημαίνει μόνο να ξεκαθαρίσουν τις αποτυχίες, αλλά και να γιορτάσουν τις νίκες στον τομέα της ασφάλειας- και να δημιουργήσουν οργανωτικές δομές που κατοχυρώνουν την ασφάλεια ως κορυφαία προτεραιότητα, αντί να την αναθέτουν σε έναν CISO. "Η ασφάλεια πρέπει να θεωρείται προτεραιότητα, διότι αν δεν είναι, η ταχύτητα στην αγορά κερδίζει πάντα", δήλωσε ο Cable.
Ο Lord συνέκρινε την τρέχουσα κατάσταση των πραγμάτων με το πώς η κυβέρνηση των ΗΠΑ άφησε μεγάλο μέρος της ασφάλειας των αυτοκινήτων στους μεμονωμένους κατασκευαστές πριν από δεκαετίες. Ο τίτλος της ενημέρωσης, "Unsafe At Any Speed: CISA's Plan to Foster Tech Ecosystem Security", θύμισε το βιβλίο του Ralph Nader του 1965 που κατήγγειλε τις πρακτικές του Ντιτρόιτ.
Συμβούλευσε τους προγραμματιστές και τους μηχανικούς να θυμούνται ότι το έργο τους θα χρησιμοποιηθεί από ανθρώπους χωρίς το τεχνικό τους υπόβαθρο ή την εμπειρία τους, λέγοντας, "θέλουμε να σκέφτονται τι πραγματικά συμβαίνει στον τομέα".
Ο Lord είπε ότι η ασφαλής προσέγγιση πρέπει να είναι σαν ένα καλά φωτισμένο μονοπάτι, όχι κάτι που οι χρήστες πρέπει να περιηγηθούν μόνοι τους. "Θέλουμε αυτά τα καλά φωτισμένα μονοπάτια να είναι πανταχού παρόντα", είπε. "Για το πώς θα το κάνουμε αυτό, θα χρειαστούμε τη βοήθειά σας".
Ο Lord έχει δει τι μπορεί να συμβεί όταν ένας οργανισμός αφήνει πάρα πολλά στην προσοχή και την καλή θέληση των εργαζομένων, αφού έχει εργαστεί ως CISO στη Δημοκρατική Εθνική Επιτροπή και στη Yahoo μετά από μαζικές παραβιάσεις που υπέστησαν.
Οι δύο τους σημείωσαν ότι η κυβέρνηση δεν μιλάει απλώς με τους προμηθευτές τεχνολογίας, αλλά τους ακούει κιόλας: Το πρωί της Πέμπτης, μια ομάδα οργανισμών -συμπεριλαμβανομένου της CISA, του Εθνικού Ιδρύματος Επιστημών (NSF) και της Υπηρεσίας Προηγμένων Ερευνητικών Προγραμμάτων Άμυνας (DARPA)- ανακοίνωσε ένα αίτημα για πληροφορίες, με το οποίο ζητούνται σχόλια σχετικά με το πώς οι ομοσπονδιακοί φορείς μπορούν να προωθήσουν την υιοθέτηση γλωσσών που εξασφαλίζουν τη μνήμη και να βελτιώσουν την ασφάλεια του λογισμικού ανοικτού κώδικα.
Η ανακοίνωση αυτή και η συζήτηση στο Black Hat ακολουθούν μήνες εργασίας της κυβέρνησης Μπάιντεν για την ενίσχυση της κυβερνοασφάλειας των ΗΠΑ. Ο Λευκός Οίκος έχει επιβάλει αυστηρότερες απαιτήσεις στους κυβερνητικούς εργολάβους πληροφορικής, έχει συστήσει ένα Συμβούλιο Ελέγχου Ασφάλειας στον Κυβερνοχώρο, κατά το πρότυπο του Εθνικού Συμβουλίου Ασφάλειας Μεταφορών, για τη διερεύνηση αποτυχιών σε επίπεδο συστήματος, όπως η ευπάθεια Log4j, και έχει ξεκινήσει ένα εθελοντικό πρόγραμμα σήμανσης ασφάλειας "Cyber Trust Mark" για συσκευές Internet-of-Things.
Την Τετάρτη στο Black Hat, η DARPA διεύρυνε την ατζέντα αυτή ανακοινώνοντας έναν διαγωνισμό AI Cyber Challenge, με βραβεία ύψους σχεδόν 20 εκατομμυρίων δολαρίων, για την εξεύρεση τρόπων χρήσης εργαλείων τεχνητής νοημοσύνης για τη βελτίωση της ασφάλειας του υπάρχοντος λογισμικού και των υποδομών.