Un nuevo informe promueve la prevención de ciberataques mediante el uso de lenguajes seguros para la memoria y el desarrollo de estándares de seguridad de software.
Un nuevo informe de la Casa Blanca se centra en asegurar la informática en la raíz de los ciberataques; en este caso, reducir la superficie de ataque con lenguajes de programación seguros para la memoria como Python, Java y C# y promover la creación de mediciones estandarizadas para la seguridad del software.
El informe insta a los profesionales de la tecnología a:
- Implementar lenguajes de programación seguros para la memoria.
- Desarrollar y respaldar nuevas métricas para medir la seguridad del hardware.
Este informe, titulado «Back to the Building Blocks: A Path Toward Secure and Measurable Software«, tiene como objetivo transmitir a los profesionales de TI y líderes empresariales algunas de las prioridades del gobierno de EE. UU. cuando se trata de asegurar el hardware y el software en la fase de diseño. El informe es un llamado a la acción sugerida, con consejos y pautas generales.
«Incluso si se solucionaran todas las vulnerabilidades conocidas, la prevalencia de vulnerabilidades no descubiertas en todo el ecosistema del software aún presentaría un riesgo adicional»
«Un enfoque proactivo que se centra en eliminar clases enteras de vulnerabilidades reduce la superficie de ataque potencial y da como resultado un código más confiable, menos tiempo de inactividad y sistemas más predecibles».
Las Vulnerabilidades de la Seguridad de la Memoria Preocupan en los Lenguajes de Programación
Las vulnerabilidades de la seguridad de la memoria han existido durante más de 35 años, señaló el informe, sin que aparezca una solución. Los autores del informe afirman que no existe una solución «milagrosa» para todos los problemas de ciberseguridad, aunque el uso de lenguajes de programación con seguridad de memoria incorporada puede reducir una gran cantidad de posibles tipos de ciberataques.
La ONCD (Oficina del Director Nacional de Ciberseguridad / Office of the National Cyber Director) señala que C y C++ son lenguajes de programación muy populares utilizados en sistemas críticos, pero no son seguros para la memoria. Rust es un lenguaje de programación seguro para la memoria, pero no se ha probado en el tipo de sistemas aeroespaciales que el gobierno quiere asegurar particularmente.
Los creadores de software y hardware son las partes interesadas más relevantes para hacerse cargo de la creación de hardware seguro para la memoria, dijo la ONCD. Esas partes interesadas podrían trabajar en la creación de nuevos productos en lenguajes de programación seguros para la memoria o en la reescritura de funciones o bibliotecas críticas.
¿Qué lenguajes de programación son seguros para la memoria?
Python, Java, C#, Go, Delphi/Object Pascal, Swift, Ruby, Rust y Ada son algunos lenguajes de programación seguros para la memoria, según un informe de la NSA de abril de 2023.
Nuevas Métricas para Medir la Seguridad del Software
El informe afirma que «es fundamental desarrollar métricas empíricas que midan la calidad de la ciberseguridad del software«. Este es un esfuerzo más difícil que cambiar a lenguajes de programación seguros para la memoria; después de todo, los desafíos y beneficios de crear métricas o herramientas generales para medir y evaluar la seguridad del software se han discutido durante décadas.
Desarrollar métricas para medir la seguridad del software es difícil por tres razones principales:
- La ingeniería de software puede ser tanto un arte como una ciencia, y la mayoría del software no es uniforme.
- El comportamiento del software puede ser muy impredecible.
- El desarrollo de software avanza muy rápido.
Para superar estos desafíos, la ONCD señala que cualquier métrica desarrollada para evaluar la seguridad del software debería ser monitoreada y estar abierta a cambios constantes, y el software debería medirse de forma dinámica, no estática.
Respuesta de la Industria a las Prioridades del Informe
El analista vicepresidente de Gartner, Paul Furtado, dijo que «en última instancia, todo lo que podemos hacer para minimizar el potencial de un incidente de seguridad es beneficioso para el mercado«. Señaló que las empresas pueden tener un largo camino por recorrer para reducir su superficie de ataque utilizando métodos como los sugeridos en el informe de la ONCD.
«Incluso dentro de las aplicaciones desarrolladas internamente, existe una dependencia de las bibliotecas de código subyacentes. Todos estos entornos y aplicaciones tienen algún nivel de deuda técnica», dijo Furtado. «Hasta que no se aborde la deuda técnica en toda la cadena, el riesgo subyacente permanece, aunque se comience a reducir la superficie de ataque. El informe proporciona un camino a seguir para centrarse en el nuevo desarrollo, pero la realidad es que estaremos a muchos años de abordar toda la deuda técnica residual que aún puede dejar a las organizaciones susceptibles de ser explotadas».
Algunas grandes organizaciones tecnológicas ya están de acuerdo con las recomendaciones del informe.
«Creemos que la adopción de lenguajes seguros para la memoria presenta una oportunidad para mejorar la seguridad del software y proteger aún más la infraestructura crítica de las amenazas de ciberseguridad», dijo Juergen Mueller, director de tecnología de SAP, en un comunicado a la ONCD.
«Felicito a la Oficina del Director Nacional Cibernético por dar el importante primer paso más allá de la política de alto nivel, traduciendo estas ideas en llamados a la acción que las comunidades técnicas y empresariales pueden comprender», dijo Jeff Moss, presidente de DEFCON y Black Hat, en un comunicado a la ONCD. «Apoyo la recomendación de adoptar lenguajes de programación seguros para la memoria en todo el ecosistema porque hacerlo puede eliminar categorías enteras de vulnerabilidades a las que hemos estado poniendo tiritas durante los últimos treinta años».
Conclusiones para los Ejecutivos sobre las Áreas de Enfoque para la Ciberseguridad
El informe señala que la seguridad no está solo en manos del director de seguridad de la información de una empresa que utiliza el software afectado; en cambio, los directores de información, que liderarán la compra de software, y los directores de tecnología de las empresas que fabrican software en particular, deben compartir la responsabilidad de los esfuerzos de ciberseguridad entre sí y con el CISO.
Estos líderes deben fomentar la ciberseguridad en tres áreas principales, según el informe:
- Desarrollo de software: de mayor interés para CTO y CIO.
- El análisis de productos de software: de mayor interés para CTO y CIO.
- Un entorno de ejecución resistente: de mayor interés para los CISO.
