Seguridad

Google se mueve para controlar las violaciones de ciberseguridad del sector público

0 0 4 minutos de lectura
The Google Logo on a building in the company

Google recientemente tomó medidas para proteger a los gobiernos estatales, locales, tribales y territoriales de los ataques cibernéticos.

El logotipo de Google en un edificio en Googleplex en el campus principal de la empresa.Imagen: Fotografía diversa/Adobe Stock

Google y el Centro para la Seguridad de Internet lanzaron Google Cloud Alliance esta semana con el objetivo de promover la seguridad digital en el sector público.

El Centro para la Seguridad de Internet se estableció en 2000 para abordar las crecientes amenazas cibernéticas y establecer un conjunto de protocolos y estándares de seguridad cibernética, como los Controles de seguridad críticos de CIS y los Puntos de referencia de CIS, para ayudar a los gobiernos estatales y locales a responder a las amenazas cibernéticas.

Informes de seguridad de lectura obligada

Google Cloud dijo que traería miembros y servicios de su equipo de Acciones de Ciberseguridad de Google, incluidos los conocimientos de su informe Threat Horizons y Mandiant Cyber ​​​​Intelligence, para sopesar «proteger el ecosistema tecnológico más amplio, especialmente en lo que respecta a la seguridad en la nube». la ciberseguridad en general son «prácticas», según un comunicado conjunto.

Google también lanzó su servicio Assured Open Source Software (Assured OSS) para los ecosistemas Java y Python de forma gratuita este mes, informó Tecnopedia. La medida se produce después de un aumento en los ataques de denegación de servicio por motivos políticos.

En respuesta, el gigante de los motores de búsqueda lanzó Project Shield y distribuyó defensa DDoS contra sitios web gubernamentales, noticias y periodistas independientes, y sitios web relacionados con la votación y los derechos humanos.

Salta a:

LEER  10 elementos esenciales que todo entorno de producción debe tener
Publicaciones relacionadas

Proteger a las organizaciones gubernamentales estatales, locales, tribales y territoriales

Google Cloud creó recientemente Google Public Sector para apoyar a los gobiernos federales, estatales y locales y a las instituciones educativas, y en agosto de 2023 anunció un compromiso de $10 mil millones para la seguridad del sector público durante cinco años.

El Center for Internet Security opera un centro de análisis e intercambio de información de infraestructura electoral y multiestatal que respalda las necesidades de seguridad cibernética que cambian rápidamente de las organizaciones gubernamentales estatales, locales, tribales y territoriales, incluidos los subsectores de infraestructura crítica, como las escuelas K-12 y las oficinas electorales.

Gina Chapman dijo: «Esta asociación entre CIS y Google es particularmente emocionante porque reúne dos perspectivas poderosas sobre la seguridad cibernética y las aplica a los niveles más altos de las organizaciones gubernamentales estatales, locales, tribales y territoriales de EE. UU. Comunidades objetivo e históricamente desatendidas en línea». , vicepresidente ejecutivo de ventas y servicios comerciales de CIS, en un comunicado. «Las necesidades de ciberseguridad del sector público requieren las mejores soluciones rentables de su clase, incluida la implementación y el soporte operativo, y esperamos ver cómo podemos trabajar juntos para apoyar a esta comunidad».

Proteger a los piratas informáticos éticos y mantener las vulnerabilidades fuera de la naturaleza

Google también es miembro fundador de una serie de iniciativas independientes lanzadas a principios de este mes con el apoyo del Center for Cybersecurity Policy and Law:

  • El Hacking Policy Council, una división del Center for Cybersecurity Policy and Law (CCPL), se enfrentará a una legislación destinada a limitar las actividades de piratería ética, como las pruebas de penetración, y exigir la divulgación prematura de vulnerabilidades a las agencias gubernamentales o al público.
  • El Fondo de Defensa Legal de Investigación de Seguridad ayudará a financiar la representación legal para aquellos que enfrentan problemas legales que surgen de investigaciones de seguridad de buena fe y divulgaciones de vulnerabilidades que promueven la seguridad cibernética en el interés público.

Harley Geiger, abogado de Venable LLP, dijo que los dos grupos abordarán la Sección 1201 de la Ley de derechos de autor del milenio digital.

«Para mantener un alto nivel, la Sección 1201 restringe la disponibilidad de herramientas que pueden eludir las medidas de protección técnica del software», explicó. «Esencialmente, si está poniendo a disposición herramientas para eludir las medidas de seguridad del software, existe una limitación heredada que se aplica ampliamente pero que no se aplica con frecuencia».

La reforma es necesaria, dijo Geiger, porque las herramientas que usan los evaluadores de penetración para encontrar vulnerabilidades de software están necesariamente diseñadas para eludir las protecciones de software.

«Este es solo un aspecto de la política que afecta las pruebas de penetración que debe reformarse», dijo.

Propuesta para abordar la liberación obligatoria de vulnerabilidades

Otros incluyen requisitos sobre la identificación de vulnerabilidades, que, según él, representan un alto riesgo para las empresas porque, en la era de la confianza cero, compartir una vulnerabilidad con una entidad gubernamental es funcionalmente equivalente a compartirla con la naturaleza.

mirar: Las vulnerabilidades en las API son una preocupación creciente (Tecnopedia)

«Las vulnerabilidades se descubren constantemente, por lo que, por supuesto, desea minimizar la superficie de ataque», dijo, «pero es difícil imaginar detener el proceso de producción cada vez que se descubre una nueva vulnerabilidad».

Esto sería necesario si la vulnerabilidad se revelara temprano, explicó. Un ejemplo concreto es la Cyber ​​​​Resilience Act propuesta por la Unión Europea.

«Si se aprueba o cuando se apruebe, la UE tendrá tanto impacto en la ciberseguridad como el RGPD en la privacidad», dijo. «La forma en que está redactado actualmente requeriría que cualquier fabricante de software divulgue una vulnerabilidad a una agencia gubernamental de la UE dentro de las 24 horas posteriores a la determinación de que ha sido explotada sin autorización. Parcheado o mitigado. Entonces podría terminar con una lista continua de paquetes con vulnerabilidades no mitigadas compartidas con potencialmente docenas de agencias gubernamentales de la UE», agregó Geiger.

En otras palabras, explicó, NISA lo compartirá con los equipos de preparación de seguridad informática de los estados miembros relevantes, así como con las autoridades de vigilancia.

“Si se trata de un software para toda la UE, se analizan más de 50 agencias gubernamentales que podrían estar involucradas. La cantidad de informes recibidos podría ser alta. Es peligroso y existe el riesgo de exponer información a adversarios o con fines de inteligencia”, dijo. dicho.

Bajo la CCPL, el Comité de Políticas de Hackeo:

  • Cree un entorno legal más propicio para la divulgación y gestión de vulnerabilidades, recompensas de errores, autocorrección de seguridad, investigación de seguridad de integridad y pruebas de penetración.
  • Mejore la colaboración entre las comunidades de seguridad, negocios y toma de decisiones.
  • Evite nuevas restricciones legales sobre la investigación de seguridad, las pruebas de penetración o la divulgación y gestión de vulnerabilidades.
  • Fortalecer la resiliencia organizacional a través de la adopción efectiva de políticas de divulgación de vulnerabilidades y la participación de investigadores de seguridad.

Otros miembros fundadores del comité incluyen Bugcrowd, HackerOne, Intel, Intigriti y LutaSecurity.

LEER  Por qué el 61 % de los CIO creen que los empleados están filtrando datos malintencionadamente
0 0 4 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba