CISA contrata ‘Mudge’ para trabalhar em princĂpios de segurança desde o design
A agĂŞncia de segurança cibernĂ©tica do governo dos EUA, CISA, confirmou na segunda-feira a adição de Peiter ‘Mudge’ Zatko Ă sua lista de vozes proeminentes que pregam o evangelho dos princĂpios de desenvolvimento de segurança por design e segurança por padrĂŁo.
Zatko, mais recentemente o CISO do Twitter que denunciou as deficiĂŞncias de segurança do gigante da mĂdia social, está ingressando na agĂŞncia em tempo parcial para trabalhar no pilar “segurança e resiliĂŞncia desde a concepção” da EstratĂ©gia Nacional de Segurança CibernĂ©tica da administração Biden.
Uma declaração da chefe da CISA, Jen Easterly, confirmou a adição de Mudge como Consultor Técnico Sênior para trabalhar na formação de uma cultura de segurança desde o projeto em todos os lugares.
“Mudge se junta a nĂłs em tempo parcial para nos ajudar a moldar de forma colaborativa uma cultura de segurança desde o design que Ă© fundamental para todas as equipes de segurança, todos os executivos e todas as salas de diretoria do paĂs”, disse Easterly. A contratação de Zatko foi relatada pela primeira vez pelo Washington Post.
Zatko é um hacker famoso dos coletivos L0pht/cDc que é creditado por alguns dos primeiros trabalhos de pesquisa sobre vulnerabilidades de buffer overflow. Anteriormente, ele atuou como gerente do programa DARPA e criou o programa Cyber ​​​​Fast Track, que fornecia recursos para hackers e espaços de hackers.
Zatko atuou como chefe de segurança do Twitter por dois anos antes de apresentar uma queixa de denúncia ao Congresso descrevendo “deficiências extremas e flagrantes” no tratamento das informações do usuário pelo Twitter e múltiplas violações dos regulamentos da SEC e da FTC.
Além de Zatko, a CISA contratou recentemente o ex-CISO Bob Lord do Yahoo e o pesquisador Jack Cable para evangelizar o pilar de segurança desde o design da Estratégia Nacional de Segurança Cibernética e do próprio Plano Estratégico da CISA.
O Plano de segurança desde a concepção da CISA apela aos fabricantes de tecnologia para que façam do Secure-by-Design e do Secure-by-Default os pontos focais dos processos de design e desenvolvimento de produtos.
“Seguro por design significa que os produtos tecnolĂłgicos sĂŁo construĂdos de uma forma que protege razoavelmente contra atores cibernĂ©ticos mal-intencionados que obtĂŞm acesso com sucesso a dispositivos, dados e infraestrutura conectada”, de acordo com o documento da CISA. “Os fabricantes de software devem realizar uma avaliação de risco para identificar e enumerar as ameaças cibernĂ©ticas predominantes aos sistemas crĂticos e, em seguida, incluir proteções nos modelos de produtos que levem em conta o cenário de ameaças cibernĂ©ticas em evolução.”
AlĂ©m disso, a CISA está a promover um princĂpio “Seguro por defeito” que garante que os produtos sejam resilientes contra tĂ©cnicas de exploração prevalecentes, desde o inĂcio, sem custos adicionais.
“Esses produtos protegem contra as ameaças e vulnerabilidades mais prevalentes sem que os usuários finais precisem tomar medidas adicionais para protegê-los. Os produtos Secure-by-Default são projetados para conscientizar os clientes de que, quando se desviam dos padrões seguros, aumentam a probabilidade de comprometimento, a menos que implementem controles de compensação adicionais”, disse a agência.
