Desde el diseño que da prioridad a la seguridad hasta la eliminación segura de los dispositivos, una iniciativa de todo el sector llamada Compute Lifecycle Assurance está haciendo que la tecnología sea más segura para todos los usuarios.
Los ataques basados en aplicaciones, como el ransomware de Colonial Pipeline, acaparan los titulares, pero los profesionales de la seguridad saben que los ciberdelincuentes no se detienen en los ataques basados en aplicaciones y seguirán apuntando al corazón de la informática a los sistemas operativos, el firmware y el hardware.
Esta tendencia inevitable ha creado la necesidad de soluciones de seguridad que no sólo se centren en el sistema operativo en áreas como el firmware y el software, sino que también lleguen a lo más profundo de la cadena de suministro de tecnología. Los ataques en las primeras fases de la cadena pueden tener un profundo impacto en los consumidores de tecnología, incluidas las organizaciones gubernamentales que dependen de ella para llevar a cabo sus misiones y almacenar y transmitir datos sensibles.
Esta tendencia es una de las razones por las que el National Institute for Standards and Technology está actualizando sus orientaciones sobre el desarrollo de sistemas ciberresistentes. También es un poco la razón por la que la administración Biden hizo hincapié en la ciberresiliencia en su reciente revisión de los problemas de la cadena de suministro.
La naturaleza creciente de la ciberdelincuencia es también la razón por la que Intel y otros líderes del sector están invirtiendo en la iniciativa Compute Lifecycle Assurance, o CLA. El objetivo es desarrollar e implantar soluciones de seguridad para la cadena de suministro líderes en el sector y trabajar con los socios de la industria para implantar un marco que permita incorporar la seguridad en todas las etapas de la existencia de un dispositivo, desde el diseño hasta la fabricación, pasando por el despliegue y la retirada.
Para las organizaciones gubernamentales, CLA significa que las tecnologías de las que dependen deben ser cada vez más ciberresistentes. Es aconsejable que los organismos se mantengan informados de los avances en materia de transparencia y trazabilidad de la cadena de suministro, y de las continuas protecciones que generará la CLA para hacer frente a las vulnerabilidades que vayan surgiendo.
Seguridad en todas las fases
El cambio de enfoque de la ciberdelincuencia ha puesto de manifiesto la importancia de las operaciones de seguridad avanzadas, las inversiones, la formación y las soluciones que abarcan todas las etapas del ciclo de vida de los dispositivos. Los líderes del sector en materia de seguridad llevan mucho tiempo invirtiendo, implementando y liderando la industria en estas inversiones holísticas de garantía de la cadena de suministro y del ciclo de vida del producto. CLA extiende esa mentalidad de que la seguridad es lo primero a lo largo del ciclo de vida de la tecnología, incluyendo:
Construcción: Empezando por la fase de diseño y luego una profunda integración con el abastecimiento y la fabricación, ¿cómo se confirma la integridad de una plataforma y de los dispositivos que la componen? ¿Se ha diseñado y construido de forma fiable? ¿Se ensambla la plataforma en una instalación de confianza, con los controles adecuados no sólo para establecer el momento de la fabricación, sino también para garantizar los niveles necesarios de trazabilidad?
Durante la fabricación siempre existe el riesgo de que se incorpore inadvertidamente una vulnerabilidad a un producto. Esto podría ocurrir, por ejemplo, a través de un firmware con código malicioso incrustado o componentes falsificados intencionadamente maliciosos o no diseñados de forma segura.
La CLA proporciona directrices para mitigar este riesgo. Un enfoque consiste en aplicar soluciones de seguridad para recopilar, sellar criptográficamente y almacenar de forma segura los metadatos de los dispositivos a medida que se fabrican.
Transferencia: ¿Llega el sistema tal y como se pidió? ¿Existen procesos, controles y tecnologías para detectar manipulaciones, modificaciones o cambios en el hardware, el firmware y el software? ¿Existen mecanismos para establecer quién debe, o no, tener derechos para modificar la plataforma a lo largo de la distribución?
El riesgo también puede introducirse cuando los dispositivos se envían y se abren paso a través del canal de distribución. ¿Llega el sistema tal y como se pidió? ¿Existen procesos, controles y tecnologías para detectar manipulaciones, modificaciones o cambios en el hardware, el firmware y el software? ¿Existen mecanismos para establecer quién debe, o no, tener derechos para modificar la plataforma a lo largo de la distribución?
El CLA puede reducir estos riesgos de varias maneras. Una de ellas es un conjunto de normas para ayudar a todos los proveedores que diseñan, construyen o combinan componentes a adherirse a prácticas de seguridad estrictas. Otra es un embalaje resistente a las manipulaciones y con evidencia de manipulación para identificar las manipulaciones físicas. Por último, las soluciones tecnológicas que rastrean e identifican los cambios en el sistema (autorizados o no) y establecen la propiedad y la transferencia del dispositivo son fundamentales para establecer la transparencia, la trazabilidad y la resistencia a la manipulación dentro del canal de distribución.
Operación: ¿El sistema funciona en un estado conocido y de confianza? ¿Se han aplicado las últimas actualizaciones funcionales o de seguridad? ¿El perfil de confianza del sistema es suficiente para automatizar los procedimientos de provisión y atestación de claves?
La tecnología debe permanecer protegida a medida que se implanta, usa y actualiza. El CLA proporciona directrices diseñadas para que su organización pueda confirmar, por ejemplo, que los productos tecnológicos que adquiere son legítimos y seguros antes de implantarlos. Su equipo de TI también debe ser capaz de configurar el hardware para garantizar, cada vez que se inicie el dispositivo, que el firmware está actualizado y que los componentes físicos no han cambiado.
Retiro: ¿Se han borrado confidencialmente de la unidad y de la plataforma todos los datos transmitidos, almacenados o borrados? ¿Se conoce el estado del dispositivo al entrar en el mercado secundario?
En el pasado, las organizaciones adquirían un dispositivo, lo entregaban a un empleado y, cuando llegaba el momento de la sustitución, destruían físicamente los componentes sensibles del sistema, como el almacenamiento. Hoy en día, son populares los modelos de consumo como el PC como servicio (PCaaS), que permiten a las organizaciones alquilar dispositivos, que finalmente se vuelven a aprovisionar en los mercados secundarios. Tales redespliegues presentan riesgos de seguridad.
El CLA aborda estos riesgos mediante tecnologías que garantizan que los datos se borran por completo y de forma irremediable de los dispositivos antes de que se vuelvan a aprovisionar o se desechen. Los datos de prueba de custodia pueden garantizar que el dispositivo que se desplegó es el que se retiró, y que los certificados de destrucción de datos no han sido falsificados.
Las agencias juegan un papel en el CLA
El CLA no sólo afecta a las empresas que diseñan y fabrican dispositivos en la cadena de suministro. Los consumidores de tecnología, como los organismos públicos, también desempeñan un papel crucial.
Los departamentos de TI deben aprovechar la transparencia que se está creando en la cadena de suministro de tecnología. Use las herramientas disponibles de los socios de la industria para retomar la instantánea tomada cuando el sistema cargó por primera vez la BIOS en la CPU y asegurarse de que hay una coincidencia. En segundo lugar, manténgase al día sobre las actualizaciones de la BIOS y los parches de firmware que protegen contra las vulnerabilidades a medida que se descubren.
Ninguna iniciativa o tecnología puede eliminar los ciberataques y los ciberriesgos. Pero al incorporar protecciones en cada eslabón de la cadena de suministro, la iniciativa Compute Lifecycle Assurance está haciendo que la tecnología sea más segura para las organizaciones gubernamentales que dependen de ella.
Fte. Nextgov