NIST lança definição de 'software crítico' para rede e computação

NIST lança definição de ‘software crítico’ para rede e recursos de computação como medida para melhorar segurança da cadeia de suprimentos de software.

O Instituto Nacional de Padrões e Tecnologia (NIST) publicou sua definição do que “software crítico” significa para o governo federal dos EUA, à medida que a agência de padrões começa a cumprir alguns dos requisitos estabelecidos na ordem executiva do presidente Joe Biden sobre segurança cibernética.

Como parte da ordem executiva de Biden publicada em 12 de maio, as agências federais agora são obrigadas a reexaminar sua abordagem à segurança cibernética, que inclui o desenvolvimento de novas maneiras de avaliar o software que os departamentos compram e implantam, bem como a adoção de abordagens modernas de segurança, como a adoção do “zero trust“e usando autenticação e criptografia multifatoriais.

Como uma das primeiras entregas a cumprir o pedido executivo, o NIST foi obrigado a desenvolver uma definição de software crítico dentro de 45 dias após a emissão do pedido. A partir deste ponto, a Agência de Segurança e Infraestrutura dos EUA usará a definição para publicar uma lista de produtos de software que se enquadram na nova definição, o que permitirá à CISA criar novas regras de segurança para como agências governamentais compram e implantam software em redes federais .

Ao focar primeiro no que software crítico significa para agências do governo federal, a ordem executiva está procurando reduzir o tipo de ameaças à cadeia de suprimentos que as organizações enfrentam, como o ataque que teve como alvo a SolarWinds e os usuários da ferramenta de monitoramento de rede Orion da empresa.

“A segurança e integridade de ‘software crítico’ – software que executa funções críticas para a confiança (como permitir ou exigir privilégios de sistema elevados ou acesso direto a recursos de rede e computação) – é uma preocupação particular“, de acordo com a ordem executiva de Biden. “Consequentemente, o governo federal deve tomar medidas para melhorar rapidamente a segurança e integridade da cadeia de suprimentos de software, com prioridade no tratamento de software crítico.“

Definindo Software Crítico

Nos últimos 30 dias, o NIST solicitou contribuições da indústria privada e do público, bem como de várias agências governamentais – incluindo CISA, o Escritório de Gestão e Orçamento, o Escritório do Diretor de Inteligência Nacional e a Agência de Segurança Nacional – para ajudar a definir o que software críticos significa.

O que o NIST publicou como uma definição de software crítico é: Software ou dependências de software que contêm pelo menos um dos seguintes atributos:

Software projetado para ser executado com privilégios elevados ou privilégios de gerenciamento;
Software que tem acesso direto ou privilegiado a recursos de rede ou computação;
Software projetado para controlar o acesso a dados ou tecnologia operacional;
Software que desempenha uma função crítica e requer confiança;
Ou software que opera fora dos limites normais de confiança com acesso privilegiado.

Esta definição inclui sistemas operacionais, navegadores da web, hipervisores, ferramentas de segurança de endpoint, aplicativos de gerenciamento de identidade e acesso, ferramentas de monitoramento de rede e outros produtos, de acordo com o NIST.

“A definição se aplica a software de todas as formas (por exemplo, software autônomo, software integral para dispositivos ou componentes de hardware específicos, software baseado em nuvem) adquirido ou implantado em sistemas de produção e usado para fins operacionais. Outros casos de uso, como software usado exclusivamente para pesquisa ou teste que não está implantado em sistemas de produção, estão fora do escopo desta definição“, de acordo com um white paper do NIST .

O NIST observa que esta definição de software crítico pode ser aplicada a software criado por empresas privadas e vendido a agências federais ou software desenvolvido por agências governamentais e usado em redes federais, como software de prateleira do governo.

Ponto de partida

John Dickson, vice-presidente da consultoria de segurança Coalfire, diz que, embora a definição do NIST seja um bom ponto de partida, a visão da agência sobre o que é software crítico pode ser muito ampla.

“Eu entendo que o software que executa monitoramento, controle e proteção de rede está na lista crítica, mas quando você puxa navegadores e sistemas operacionais, você começa a ter uma lista que é potencialmente tão grande e complexa a ponto de ser potencialmente incontrolável“, Dickson diz. “Não vi, no entanto, qualquer menção a software de missão crítica construído internamente. Sei que a ordem executiva está focada na segurança de software da cadeia de suprimentos com ênfase em software comercial de prateleira, mas isso é uma falha potencial. As organizações que ‘compram’ softwares personalizados desenvolvidos para uso interno também podem criar vulnerabilidades catastróficas.“

E enquanto a definição do NIST foi criada para definir software crítico para agências governamentais dos EUA, Tim Wade, um ex-gerente técnico de rede e segurança da Força Aérea dos EUA que agora é diretor técnico da empresa de segurança Vectra AI, diz que quase qualquer organização pode usá-lo como ponto de partida para melhorar sua segurança.

“As organizações podem usar essa orientação para priorizar recursos e atividades de segurança”, diz Wade. “O risco, claro, de confiar apenas em tal lista é que a realidade é que cada organização tem alguns fatores ambientais que farão um item desta lista mais impactante do que outro. Por esse motivo, as organizações nunca devem confundir a utilidade semelhante a uma bússola de tal orientação como um mapa exaustivo que exclui a necessidade de praticar a avaliação de risco local.“

Padraic O’Reilly, cofundador e diretor de produto da CyberSaint Security, diz que a forma como o NIST definiu software crítico parece tratar das vulnerabilidades que os invasores utilizam como um ponto de entrada nas redes.

“É uma etapa fundamental no processo de obtenção de sistemas e requisitos para fornecedores de software“, diz O’Reilly. “O software de gerenciamento de identidade e acesso tem sido uma grande parte da história em torno dos ataques mais significativos no ano passado. Aumentar os requisitos do fornecedor para compras incentivará melhorias em tais produtos de software.“

Próximos passos

Embora a definição de software crítico ajude a orientar a abordagem das agências federais para a compra de software e segurança da cadeia de suprimentos, o NIST recomenda que o governo dos Estados Unidos comece lentamente a cumprir a ordem executiva.

Por exemplo, o NIST recomenda que as agências primeiro apliquem a ordem executiva para software local dentro de suas redes e infraestrutura que “tenha funções críticas de segurança ou apresente potencial significativo semelhante de dano se comprometido“. Depois disso, as agências governamentais podem olhar para o software baseado em nuvem, o software utilizado em sistemas de tecnologia de operação e também ferramentas de desenvolvimento, como repositórios de código.

Agora que o NIST publicou a definição de software crítico, a CISA e o Departamento de Segurança Interna terão 30 dias para publicar uma lista de produtos de software que atendem a essa definição e são usados nas redes do governo federal. Em seguida, NIST, CISA e OMB publicarão diretrizes para proteger esses produtos de software críticos, de acordo com a ordem executiva.

Fonte: Bank Info Security – ISMG Group