NIST ofrece herramientas para ayudar a defenderse de los piratas informáticos patrocinados por el estado

La Publicación especial 800-172 está diseñada para proteger información confidencial en una variedad de sistemas electrónicos.

Las naciones de todo el mundo están agregando la guerra cibernética a su arsenal, empleando equipos altamente capacitados para lanzar ataques contra otros países. Estos adversarios también se denominan "amenaza persistente avanzada", o APT, porque poseen las herramientas y los recursos para perseguir sus objetivos repetidamente durante un período prolongado, adaptándose a los esfuerzos de los defensores para resistirlos.

Los datos vulnerables incluyen la información confidencial pero no clasificada administrada por el gobierno, la industria y el mundo académico en apoyo de varios programas federales. Ahora, una publicación finalizada del Instituto Nacional de Estándares y Tecnología (NIST) proporciona orientación para proteger dicha “información no clasificada controlada” (CUI) de la APT. Publicación especial del NIST (SP) 800-172, Requisitos de seguridad mejorados para proteger la información no clasificada controlada:un suplemento de NIST SP 800-171, ofrece un conjunto de herramientas diseñadas para contrarrestar los esfuerzos de los piratas informáticos patrocinados por el estado y complementa otra publicación del NIST destinada a proteger CUI.

“Los ciberataques se llevan a cabo con armas silenciosas y, en algunas situaciones, esas armas son indetectables”, dijo Ron Ross, científico informático y miembro del NIST. “Debido a que es posible que todavía no" sienta "los efectos directos del próximo truco, puede pensar que algún día llegará en el futuro; pero en realidad, está sucediendo ahora mismo ".

El gobierno federal depende en gran medida de proveedores de servicios no federales para ayudar a llevar a cabo una amplia gama de misiones utilizando sistemas de información, un término que incluye computadoras, pero también una variedad de otras tecnologías especializadas, como sistemas de control industrial e Internet de las cosas. La protección de la información federal confidencial que reside en sistemas no federales, como los que utilizan los gobiernos estatales y locales, los colegios y universidades y las organizaciones de investigación independientes, es de suma importancia, ya que puede afectar directamente la capacidad del gobierno federal para llevar a cabo sus operaciones. . Un ataque en 2018 que comprometió información confidencial inspiró directamente el trabajo del equipo de NIST en SP 800-172.

Anteriormente con el número SP 800-171B durante sus etapas de borrador, SP 800-172 ofrece recomendaciones adicionales para manejar CUI en situaciones donde esa información corre un riesgo de exposición más alto que el habitual. CUI incluye una amplia variedad de tipos de información, desde nombres de personas o números de Seguro Social hasta información de defensa crítica.

“Desarrollamos el SP 800-171 en respuesta a los principales ataques cibernéticos en la infraestructura crítica de EE. UU., Y su documento complementario SP 800-172 está diseñado para mitigar los ataques de las amenazas cibernéticas avanzadas como APT”, dijo Ross. “La implementación de las salvaguardas cibernéticas en SP 800-172 ayudará a los propietarios de sistemas a proteger lo que los piratas informáticos a nivel estatal han considerado objetivos particularmente de alto valor:información sensible sobre personas, tecnologías, innovación y propiedad intelectual, cuya revelación podría comprometer nuestra economía y seguridad nacional ”.

Los requisitos de seguridad mejorados se implementarán además de los de SP 800-171, ya que esa publicación no está diseñada para abordar la APT. Los requisitos de SP 800-172 se aplican a los componentes de sistemas no federales que procesan, almacenan o transmiten CUI o que brindan protección para dichos componentes. Para limitar aún más el alcance, los requisitos se aplican solo cuando el CUI designado está asociado con un programa crítico o activo de alto valor, la máxima prioridad para la protección.

Desarrollada principalmente para administradores como gerentes de programas, CIO y auditores de sistemas, la publicación aborda la protección de CUI para los componentes del sistema mediante la promoción de una arquitectura resistente a la penetración, operaciones que limitan los daños y diseños para lograr la ciberresiliencia y supervivencia. Sus herramientas, divididas en 14 familias, no están pensadas para ser implementadas en masa, sino seleccionadas según las necesidades de la organización.

“Lo más probable es que una organización que implemente esta guía no quiera utilizar todos los requisitos de seguridad mejorados que ofrecemos aquí”, dijo Ross. “La decisión de seleccionar un conjunto particular de requisitos de seguridad mejorados se basará en su misión y necesidades comerciales, y luego se guiará e informará mediante evaluaciones de riesgos continuas”.

En respuesta a los comentarios recibidos durante el período de comentarios públicos, el borrador final incluye una guía actualizada de alcance y aplicabilidad y un enfoque de selección de requisitos más flexible para permitir que las organizaciones personalicen sus soluciones de seguridad.

Ross dijo que las herramientas de la nueva publicación deberían ofrecer esperanza a cualquiera que busque defenderse de los ataques, incluso con una amenaza tan intimidante como la APT.

"Los adversarios están aportando su 'juego A' en estos ciberataques las 24 horas del día, los 7 días de la semana", dijo. "Puede comenzar a asegurarse de que el daño se minimice si utiliza las protecciones cibernéticas de SP 800-172".

Fuente original:https://www.nist.gov/news-events/news/2021/02/nist-offers-tools-help-defend-against-state-sponsored-hackers