Várias agências governamentais dos EUA se uniram para criar novas orientações de segurança cibernética para o uso de software de código aberto (OSS) em tecnologia operacional (TO).
Projetado de acordo com o Roteiro de Segurança de Software de Código Aberto da CISA, lançado em setembro, o novo documento (PDF) tem como objetivo promover a compreensão do OSS e sua implementação em sistemas de controle industrial (ICS) e outros ambientes de TO, e detalhar as melhores práticas sobre o uso seguro do OSS.
De autoria da CISA, do FBI, da NSA e do Departamento do Tesouro dos EUA, a orientação fornece recomendações sobre como apoiar o desenvolvimento de OSS, corrigir vulnerabilidades e usar as Metas de Desempenho de Segurança Cibernética (CPGs) intersetoriais para adotar as melhores práticas de segurança.
De acordo com o documento, as preocupações de segurança que o OSS e o OT partilham com todos os sistemas de software incluem a existência de vulnerabilidades em bibliotecas e componentes, falta de suporte comercial e documentação insuficiente antes da implementação.
“Os sistemas TO são frequentemente expostos a agentes de ameaças cibernéticas que visam os sistemas de controle e a infraestrutura crítica que eles operam. Para combater essas ameaças, a comunidade de segurança cibernética recomenda que os defensores e operadores mantenham todos os sistemas de TO e TI atualizados com patches e atualizações de segurança para lidar com vulnerabilidades exploradas conhecidas”, diz a orientação.
No entanto, a aplicação de patches em TO pode ser um desafio devido ao impacto potencial em outros softwares, e a orientação recomenda a implementação de abordagens “seguras desde o projeto” e “seguras por padrão” para minimizar o risco em TO.
Ademais, observam as agências dos EUA, os agentes de ameaças podem tentar explorar atualizações de software para atingir a cadeia de fornecimento de OT e substituir os patches legítimos por cargas maliciosas, tornando a transparência e a verificabilidade dois aspectos altamente importantes da gestão de riscos da cadeia de fornecimento.
“Uma cadeia de fornecimento de software confiável para um sistema TO com componentes OSS oferece garantia de que o sistema se comportará conforme planejado no momento da aquisição e que todos os componentes OSS foram devidamente verificados antes do uso. Isto também se aplica às informações da cadeia de fornecimento de software em geral”, observam as agências governamentais dos EUA.
A indústria de OT/ICS, dizem as agências, deve fornecer apoio aos indivíduos e grupos que desenvolvem e mantêm projetos-chave de OSS, auditar e melhorar seus processos de gerenciamento de vulnerabilidades e relatórios, implementar processos de implantação de patches para ambientes de OT/ICS, melhorar sua autenticação e autorização. políticas e estabelecer uma estrutura comum para o uso do OSS.
A nova orientação foi publicada juntamente com o Protegendo OSS em TO página da web, onde as organizações podem acessar detalhes sobre a iniciativa de planejamento OSS da Joint Cyber Defense Collaborative (JCDC), destinada a “apoiar a colaboração entre os setores público e privado – incluindo a comunidade OSS – para melhor compreender e proteger o uso de OSS em OT/ICS, que fortalecerá a defesa contra ameaças cibernéticas de TO/ICS”.
As organizações do TO/ICS são incentivadas a revisar as novas orientações e implementar suas recomendações.
A nova orientação surge um ano após a série Securing Software Supply Chain Series, três documentos que fornecem aos desenvolvedores, fornecedores de software e clientes orientações sobre como proteger a cadeia de fornecimento de software.
