O governo dos EUA está em processo de reformulação das suas políticas de segurança cibernética. Isto inclui a liberação de Estrutura de desenvolvimento de software seguro (SSDF) versão 1.1 pelo Instituto Nacional de Padrões e Tecnologia (NIST), que visa reduzir vulnerabilidades de segurança em todo o Ciclo de Vida de Desenvolvimento de Software (SDLC).
O documento fornece aos fornecedores e adquirentes de software “um conjunto básico de práticas de desenvolvimento de software seguro de alto nível que podem ser integradas em cada implementação de SDLC."
Um projeto inicial de estrutura foi publicado em setembro de 2021, seguido pela versão final em fevereiro de 2022, que continha apenas pequenas atualizações. O SSDF combina recomendações de práticas recomendadas para segurança SDLC, permanecendo personalizável e independente do setor.
Não é um documento que prescreva metodologias fixas para cada prática. Em vez disso, concentra-se nos resultados e não em ferramentas, técnicas e mecanismos específicos. O SSDF promove uma abordagem baseada no risco, onde as organizações são incentivadas a consultar referências e outros recursos para determinar quais práticas são relevantes para as suas operações e como devem ser implementadas.
O SSDF inclui recomendações nas seguintes áreas:
- Garantir que as pessoas, os processos e a tecnologia de uma organização estejam preparados para o desenvolvimento seguro de software
- Protegendo todos os componentes de software contra adulteração e/ou acesso não autorizado
- Liberando software seguro com vulnerabilidades de segurança mínimas
- Identificar quaisquer vulnerabilidades pós-lançamento e responder adequadamente
As recomendações rapidamente se tornam diretivas
Em parceria com o setor privado, o NIST foi orientado a criar o SSDF por Executive Order 14028, “Melhorando a segurança cibernética da nação”. O despacho também orienta a Diretoria de Gestão e Orçamento (OMB) a, no prazo de 30 dias após a emissão, “tomar as medidas apropriadas para exigir que as agências cumpram essas diretrizes com relação ao software adquirido após a data deste pedido."
Em março de 7th, 2022, o OMB divulgou uma declaração que incluía o seguinte, “As agências federais devem começar a adotar o SSDF e as orientações relacionadas com efeito imediato, adaptando-as ao perfil de risco e à missão da agência.”
Portanto, embora o SSDF seja uma lista de recomendações, ela deve ser seguida por todas as organizações que fornecem software ao governo dos EUA. Embora não seja um requisito legal para todo o desenvolvimento de software, o SSDF ainda representa um passo considerável na política de segurança cibernética dos EUA.
Com o poder de compra do governo dos EUA, como um grande consumidor de software externo, presume-se que estas recomendações serão transmitidas ao resto da indústria, tornando-se a norma para o desenvolvimento de software nos EUA. os contratos devem saiba como aderir ao SSDF, e qualquer organização que pretenda operar com sucesso nos EUA provavelmente também precisará cumprir.
Memorando do OMB sobre prioridades de segurança cibernética
O SSDF não é o único novo desenvolvimento na política de segurança cibernética dos EUA. O governo dos EUA pediu recentemente às agências que enfatizassem novas prioridades, incluindo a implementação de uma abordagem de confiança zero e a modernização dos sistemas de TI legados.
Na sequência da Ordem Executiva 14028, o OMB e o Gabinete do Diretor Nacional Cibernético (ONCB) divulgaram um memorando em julho 22nd, 2022, descrevendo as prioridades de investimento cibernético entre agências do governo dos EUA para apresentações orçamentárias no ano fiscal de 2024.
Ele descreve três prioridades nas quais as agências do Poder Executivo Civil Federal (FCEB) devem investir. O OMB e a ONCD revisarão a resposta de cada agência e fornecerão feedback para garantir “as prioridades são abordadas de forma adequada e consistentes com a estratégia e política globais de segurança cibernética – apoiando o planeamento plurianual das agências através do processo orçamental regular."
As três prioridades para o investimento cibernético são:
Nº 1: Melhorar a defesa e a resiliência das redes governamentais
O memorando pede às agências da FCEB que priorizem implementação de confiança zero e Modernização de TI.
O modelo de segurança de confiança zero descreve a implementação de sistemas de TI onde cada usuário ou dispositivo não é confiável por padrão. As arquiteturas típicas verificam uma vez e depois permitem que usuários ou dispositivos acessem a rede. Em contraste, as arquiteturas de confiança zero verificam tudo e qualquer coisa dentro do sistema.
A Estratégia Federal Zero Trust é descrita em seu próprio Memorando OMB, lançado em 26 de janeiroth, 2022. A estratégia exige que todas as agências governamentais alcancem metas específicas de confiança zero até ao final do ano fiscal de 2024.
Espera “alcançar uma linha de base consistente para toda a empresa para a segurança cibernética, baseada em princípios de privilégio mínimo, minimizando a superfície de ataque e projetando proteções em torno da suposição de que os perímetros das agências devem ser considerados comprometidos. "
Esta é uma mudança importante para as agências governamentais: daqui para frente, elas serão obrigadas a analisar todo o software que usam (seja desenvolvido internamente ou fornecido por um fornecedor externo) para garantir que ele atenda aos requisitos de segurança de confiança zero.
A modernização da TI refere-se ao número considerável de sistemas legados que as agências governamentais utilizam e à dívida técnica em que incorrem. Apresentações de orçamento para 2024 “devem priorizar modernizações tecnológicas que conduzam à segurança integrada durante a fase de design, bem como durante todo o ciclo de vida do sistema.”
Isso inclui:
- Acelerando a adoção de infraestrutura em nuvem segura que aproveita a arquitetura de confiança zero
- Implantar produtos, serviços e padrões federais compartilhados para capacitar experiências seguras do cliente
- Usando tecnologias de segurança compartilhadas e engajando-se com o programa de Diagnóstico e Mitigação Contínuos do Departamento de Segurança Interna
- Compartilhando conscientização entre equipes de segurança e operações de TI
- Usando práticas de desenvolvimento Agile e integrando o SSDF
Nº 2: Aprofundar a colaboração intersetorial na defesa de infraestruturas críticas
A proteção contra as ameaças cibernéticas modernas exigirá uma colaboração considerável entre os setores público e privado. O OMB pede à FCEB que construa parcerias, dando prioridade às responsabilidades da Agência de Gestão de Riscos Sectoriais (SRMA) e partilhando informações através de centros de cibersegurança.
As agências devem dar prioridade à construção de métodos e mecanismos que facilitem a colaboração com proprietários de infra-estruturas críticas, a fim de mitigar potenciais ameaças. Os SRMAs também devem fornecer solicitações de orçamento que “refletem recursos adequados para cumprir as suas responsabilidades ao abrigo da secção 9002 da Lei de Autorização de Defesa Nacional de 2021.”Especificamente, os envios devem:
- Permitir que os SRMAs colaborem estreitamente com a Agência de Segurança Cibernética e de Infraestrutura (CISA) e outros SRMAs
- Permitir que o governo e a indústria troquem informações
- Melhorar a compreensão dos riscos de segurança nacional para cada setor
Nº 3: Fortalecendo as bases do nosso futuro digitalmente habilitado
A prioridade final pede à FCEB que priorize a infra-estrutura física, o capital humano e o risco da cadeia de abastecimento à medida que uma parte maior da economia dos EUA passa pela transformação digital.
- Infraestrutura física
A recente Lei de Emprego e Investimento em Infraestrutura (IIJA) representa um enorme investimento do governo dos EUA. O OMB pede às agências da FCEB que apoiem quaisquer esforços para proteger a infra-estrutura contra ataques cibernéticos. Isto inclui o desenvolvimento de padrões de segurança cibernética e o fornecimento de suporte técnico para novos projetos.
- Capital humano
Para combater as ameaças cibernéticas, as agências são incentivadas a investir em talentos de TI e em novas ferramentas que promovam a competência digital em toda a força de trabalho.
- Risco da cadeia de fornecimento de software
Segurança da cadeia de suprimentos de software está se tornando um risco crescente de segurança cibernética. Como resultado, as agências federais são atualmente obrigadas a estabelecer iniciativas de Gestão de Risco da Cadeia de Abastecimento (SCRM) durante as aquisições, especialmente para aquelas em tecnologia e serviços de informação e comunicação (ICTS). Embora este requisito deva expirar no final de 2023, há legislação pendente que o estenderá até 2026.
Espera-se que as agências sustentem os investimentos em SCRM do ano passado e direcionem novos recursos. Além de desenvolver as capacidades de aquisição do governo federal, o governo também desempenha um papel significativo na abordagem do risco nacional da cadeia de abastecimento de ICTS.
O memorando do OMB afirma: “Nas apresentações do orçamento para o exercício de 2024, as agências devem destacar os investimentos que apoiam um esforço nacional para mitigar níveis indevidos ou inaceitáveis de risco para a segurança económica e a segurança nacional dos Estados Unidos.”Isso inclui investimentos relativos Executive Order 13873, “Protegendo a cadeia de fornecimento de tecnologia e serviços de informação e comunicação”.
A política de cibersegurança dos EUA está a avançar rapidamente; você está equipado para acompanhar?
Com as crescentes exigências de segurança cibernética, as empresas de desenvolvimento de software que pretendem operar nos EUA devem garantir que podem adaptar-se com sucesso às novas diretrizes.
O SSDF já entrou em vigor e as organizações precisam aprender as novas diretrizes de desenvolvimento de software que deverão seguir. O SSDF promove uma série de medidas que reduzem a exposição a vulnerabilidades e acesso não autorizado em todo o SDLC, ao mesmo tempo que incentiva a transparência. Isso inclui:
- Validando artefatos
- Artefatos de assinatura digital
- Rastreando arquivos em busca de alterações e gerando evidências
- Validando cada componente no artefato de software final
O último memorando do OMB sobre as prioridades de investimento cibernético não só volta a enfatizar a adopção do SSDF, mas também estabelece uma série de prioridades para as agências governamentais. O mais significativo para os desenvolvedores de software é a implementação de uma arquitetura de confiança zero em todo o software que a FCEB utiliza. Este memorando entra em vigor em 2024, para que as organizações que precisam adaptar seus produtos não tenham muito tempo para se preparar.
Embora os novos requisitos delineados pelo memorando do OMB se apliquem apenas a organizações que pretendam adquirir contratos com agências FCEB, a direção da viagem sugere que novas diretrizes de segurança cibernética serão provavelmente adotadas para todos os contratantes federais, conforme descrito na Ordem Executiva 14028.
As organizações que demoram a adaptar-se correm o risco de perder negócios do governo dos EUA e, potencialmente, de outros clientes dos EUA. Agora é a hora de implementar um modelo de segurança de confiança zero e aprender as práticas recomendadas do SSDF.
Resumo
O governo dos EUA está a demonstrar um avanço significativo no que diz respeito à política de segurança cibernética. Com o SSDF já em aplicação e as novas prioridades cibernéticas do OMB entrando em vigor em 2024, as organizações que desejam continuar a operar nos EUA têm várias novas diretrizes para aprender e cumprir.
Este conteúdo é oferecido a você pela Scribe Security, um fornecedor líder de soluções de segurança de cadeia de suprimentos de software ponta a ponta – fornecendo segurança de última geração para artefatos de código e processos de desenvolvimento e entrega de código em todas as cadeias de suprimentos de software. Saiba mais.