Uma tentativa dos legisladores de melhorar partes das defesas de segurança cibernética do governo dos EUA levantou questões – e polêmicas – entre os profissionais de segurança da informação.
A Lei de Autorização de Defesa Nacional para o Ano Fiscal de 2023 – que, se aprovado, fornece bilhões em financiamento para as forças armadas americanas e outras áreas críticas do governo – passou pela Câmara dos Deputados e requer aprovação do Senado antes que o presidente Joe Biden possa dar luz verde.
Este projeto de lei contém uma seção aparentemente bem-intencionada sobre como gerenciar o risco de ataques em nível de software ao Departamento de Segurança Interna e sua cadeia de suprimentos de aplicativos e serviços online.
Com relação a contratos governamentais novos e existentes, a lei proposta exige que um fornecedor de software forneça: “Uma certificação de que cada item listado na lista de materiais apresentada está livre de todas as vulnerabilidades ou defeitos conhecidos que afetam a segurança do produto ou serviço final.”
Isso inclui vulnerabilidade bilidades listadas no National Vulnerability Database do NIST ou qualquer outro banco de dados designado pela CISA “que rastreie vulnerabilidades de segurança e defeitos em software de código aberto ou desenvolvido por terceiros.”
Em outras palavras: Homeland Security não pode compre software com quaisquer falhas de segurança conhecidas e registradas.
Embora isso provavelmente tenha a intenção de impedir a exploração de coisas como bugs do Log4j por criminosos para comprometer sistemas governamentais confidenciais, a linguagem do ato à primeira vista é frustrante para alguns. Por um lado, todo código tem bugs – então bloquear compras com base nisso interromperia o sistema de compras do governo em suas poderosas trilhas militares-industriais. Depois, há o problema de alguns bugs que não são realmente um risco de segurança serem registrados incorretamente em bancos de dados de vulnerabilidades.
Por uma leitura rigorosa deste ato, nada seria implantado.
“Esta ideia é apenas equivocada na melhor das hipóteses e um show de merda iminente na pior das hipóteses”, argumentou o co-fundador e CEO da Chainguard, Dan Lorenc.
Agora a realidade
No entanto, há uma grande ressalva. Tio Sam pode comprar softwares com bugs conhecidos se o contrato incluir “uma notificação relacionada ao plano para mitigar, reparar ou resolver cada vulnerabilidade ou defeito de segurança listado na notificação”. Em outras palavras, se um bug pode ser mitigado ou deve ser corrigido, não é um impedimento.
Ainda assim, a linguagem provocou protestos no universo do Twitter, bem como preocupações de que os fornecedores de software parem relatando CVEs – ou empresas que competem por contratos executarão recompensas de bugs umas nas outras.
“Formadores de políticas: por favor, parem de considerar os requisitos para eliminar todas as vulnerabilidades de software ou proibir a venda de software com qualquer vulnerabilidade”, twittou advogado Harley Lorenz Geiger, diretor de políticas sênior da Rapid7.
“Por favor, entenda que nem todas as vulnerabilidades são significativas, ou podem ou devem ser mitigadas. Ok, obrigado formuladores de políticas, bom papo.”
Outros, como a CEO da Luta Security, Katie Moussouris, pediram aos profissionais de segurança que respirassem fundo e relaxassem. A lei permite que funcionários do governo “comprem software com CVEs conhecidos que são mitigados”, ela twittou, acrescentando que o Tio Sam “tem que mitigar ou aceitar o risco antes de implantar”. ) É 2022 e ainda existem milhares de sistemas públicos usando VNC sem senha Bug de Palo Alto usado para ataques DDoS e não há correção ainda A Segurança Interna adverte: espere riscos Log4j por ‘uma década ou mais’
Mauricio Sanchez, diretor de pesquisa do Dell’Oro Group que cobre segurança de rede, disse que, embora ele acredite que os legisladores são bem-intencionados, a linguagem pode colocar os funcionários em uma posição impossível quando se trata de comprar tecnologia.
“Infelizmente, é típico comportamento de nossos legisladores para emitir mandatos que descrevem o ‘o quê’, mas não o ‘como’”, disse ele.
Sanchez disse que vê este projeto de lei se desenrolando de três maneiras, com relação ao congressista.
Um: “Eles caem”, disse ele. “O braço de lobby da tecnologia ou outra pessoa levanta um fedor colossal de que este é um mandato insustentável (o que é), então os legisladores removem o texto.”
A segunda opção: “Eles esclarecem”, que Sanchez observou que envolve os legisladores “fazendo a coisa certa” e tornando o mandato mais prático em oposição ao idealista.
Finalmente, há um terceiro cenário. “Eles apostam”, disse Sanchez. “Eles pegam o caminho mais fácil, deixam como está e depois afirmam ao seu eleitorado que são a favor da cibersegurança e estão melhorando a postura dos EUA. Isso deixa as agências e tribunais federais gastando tempo, energia e dinheiro desnecessários para limpar e apertar .”
Ele não está muito esperançoso. “Se eu fosse um apostador”, acrescentou Sanchez, “apostaria no número três”. ®
