Empresa irá colaborar com o Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA em nova estrutura de segurança crítica
Após reunião com o presidente dos Estados Unidos, Joe Biden, na última quarta-feira, o Google anunciou que investirá US$ 10 bilhões para reforçar a cibersegurança da infraestrutura crítica do país. O investimento inclui a expansão de programas de confiança zero, ajudando a proteger as cadeias de fornecimento de software e aprimorando a segurança de código aberto, segundo informações do site ZDNet.
O compromisso do Google para moldar a iniciativa de confiança zero do governo dos EUA, com base na ordem executiva de maio sobre segurança cibernética, abrange ferramentas de difusão de código aberto para financiar desenvolvedores de kernel Linux para trabalhar em segurança e impulsionar o uso de linguagens de memória segura no Linux, entre outras iniciativas iniciadas pela empresa há anos.
O investimento de US$ 10 bilhões do Google acontecerá ao longo de cinco anos.
O anúncio ocorreu após uma reunião na Casa Branca, na última quarta-feira (25), que contou com Biden e representantes das maiores empresas de tecnologia dos EUA: Tim Cook, CEO da Apple, Satya Nadella, CEO da Microsoft, Andy Jassy, CEO da Amazon, Sundar Pichai, CEO do Google, entre outros representantes de grandes empresas. Na ocasião, Biden reforçou que o país precisa do apoio da iniciativa privada para combater ameaças cibernéticas críticas.
A Microsoft também se comprometeu em investir para iniciativas de segurança crítica, com US$ 20 bilhões, ao longo de cinco anos.
Os investimentos fazem parte de uma resposta conjunta a ciberataques de infraestrutura crítica dos EUA, e para prevenção de ameaças futuras de alto perfil, como o ataque de ransomware contra a Colonial Pipeline, o ataque à cadeia de suprimentos de software da SolarWinds e a invasão generalizada do Microsoft Exchange.
Embora o Google não esteja entre as 18 empresas de cibersegurança selecionadas para trabalhar com o programa Instituto Nacional de Padrões e Tecnologia (NIST) do Departamento de Comércio dos EUA, agora a empresa será uma colaboradora do programa.
“No Google, há muito defendemos a proteção da cadeia de suprimentos de software por meio de nossas práticas recomendadas internas e esforços do setor que aprimoram a integridade e a segurança do software. É por isso que estamos entusiasmados em colaborar com o Instituto Nacional de Padrões e Tecnologia (NIST) do Departamento de Comércio dos EUA para apoiar e desenvolver uma nova estrutura que ajudará a melhorar a segurança e integridade da cadeia de fornecimento de tecnologia”, escreveram Eric Brewer e Dan Lorenc, em uma postagem no blog do Google.
O programa estabelecerá projetos de Zero Trust para serem implementados por agências federais.
“Em vez de reagir às vulnerabilidades, devemos eliminá-las de forma proativa com linguagens, plataformas e estruturas seguras que impedem classes inteiras de bugs”, disseram Brewer e Lorenc. “Prevenir problemas antes que eles deixem o teclado do desenvolvedor é mais seguro e mais econômico do que tentar consertar vulnerabilidades e suas consequências”.
Brewer apresentou, em junho, quatro artigos em resposta à Ordem Executiva 14028 de segurança cibernética de Biden. Um deles, diz a publicação do ZDNet, discute os problemas de segurança inerentes à codificação na linguagem de programação C e o surgimento do Rust.
Brewer diz que “linguagens seguras e estruturas de aplicativos podem ser usadas para impor uma estrutura ao software que permite raciocínio de alta confiança sobre sua segurança, em escala”. No entanto, o desafio é garantir que esse requisito seja atendido para o código C “do mundo real” e “muitas vezes requer um raciocínio difícil sobre a estrutura da memória heap”.
“Da mesma forma, é difícil garantir a validação e o escape corretos para todos os dados que fluem para a marcação HTML de um aplicativo da web, já que os dados geralmente passam por vários componentes em seu caminho das entradas para as saídas, como por meio de um esquema de armazenamento”, escreveu Brewer. “Em contraste, Rust surgiu como uma alternativa prática para C e C++ como uma linguagem de desenvolvimento de sistemas, incorporando uma postura segura por construção sobre a segurança da memória. O sistema de tipos de Rust impõe uma disciplina de propriedade que garante, por exemplo, que a memória liberada não possa ser acessada”.
Para tanto, o Google está apoiando um plano para colocar o Rust no kernel do Linux como uma segunda linguagem para C, diz o site. Lorenc e Brewer argumentam que os bugs de software devem ser limitados desde o início, em vez de apenas reagir a novas vulnerabilidades. A Microsoft e a Amazon Web Services também estão apoiando o Rust como uma alternativa segura para a memória ao C e C++ para programação de sistemas, segundo a publicação.
O Google defende o teste de código de software, incluindo o uso de ferramentas do GitHub de propriedade da Microsoft. A empresa também ofereceu sua opinião sobre a ideia de uma lista de materiais de software (SBOMs) como parte da resposta oficial dos EUA aos ataques à cadeia de suprimentos de software.
“Os SBOMs precisam de uma relação sinal-ruído razoável: se contiverem muitas informações, não serão úteis, portanto, recomendamos que a NTIA [Administração Nacional de Telecomunicações e Informações] estabeleça os requisitos mínimos e máximos de granularidade e profundidade para casos de uso específicos “, disse o Google.
Com informações de ZDNet
