Cover Image

Cyber ​​LEAP Act mira alle innovazioni attraverso Cybersecurity Grand Challenges

30 Maggio 2020 - Tempo di lettura: 21 minuti

La scorsa settimana, il Comitato per il commercio del Senato ha approvato ciò che potrebbe rivelarsi un atto legislativo essenziale per i ricercatori in materia di cibersicurezza: i concorsi sulla cibersicurezza per realizzare sforzi migliori per la ricerca degli ultimi problemi eccezionalmente avanzati, o Cyber ​​LEAP Act del 2020. Sponsorizzato dal presidente del comitato per il commercio Roger Wicker (R-MS) e dai senatori Cory Gardner (R-CO) e Jacky Rosen (D-NV), il disegno di legge stabilisce una serie nazionale di grandi sfide per la cybersecurity in modo che il paese possa "raggiungere con priorità elevate, innovazioni nella sicurezza informatica entro il 2028."

Le sfide previste dalla legislazione offriranno premi, inclusi premi in denaro e non in denaro, ai vincitori del concorso, sebbene i premi non siano ancora stati indicati. La legislazione ordina al segretario al commercio di organizzare i concorsi in sei settori chiave:

  1. Economia di un attacco informatico, focalizzata sulla costruzione di sistemi più resilienti, aumentando i costi per gli avversari
  2. Formazione informatica, per fornire agli americani l'alfabetizzazione alla sicurezza digitale e potenziare le competenze della forza lavoro informatica
  3. Tecnologia emergente, per far avanzare le conoscenze sulla sicurezza informatica nelle tecnologie emergenti come l'intelligenza artificiale
  4. Reinventare l'identità digitale, volta a proteggere le identità digitali degli utenti di Internet negli Stati Uniti
  5. Resilienza delle agenzie federali, per ridurre i rischi di sicurezza informatica per le reti federali e migliorare la risposta federale agli attacchi informatici
  6. Altre sfide determinate dal segretario al commercio

Trasformare l'approccio della società alla sicurezza

La legislazione afferma inoltre che il segretario al commercio dovrebbe prendere in considerazione le raccomandazioni di un rapporto del 2018 elaborato dal Comitato consultivo per le telecomunicazioni della sicurezza nazionale intitolato Rapporto NSTAC al Presidente su un Moonshot sulla sicurezza informatica. Quel rapporto raccomandava un approccio chiamato "Cybersecurity Moonshot" dedicato agli sforzi della NASA di inviare un uomo sulla luna.

A differenza di un atterraggio sulla luna, il colpo di luna della sicurezza informatica delineato nel rapporto del 2018 cerca la trasformazione della società piuttosto che un grande trionfo riconoscibile. L'approccio al chiaro di luna delineato da NSTAC dovrebbe anche tradursi in un quadro chiaro e strategico di "tutta la nazione" per aiutare il governo, l'industria privata, il mondo accademico e la società civile a raggiungere gli obiettivi del fenomeno lunare, secondo il rapporto.

Il rapporto NSTAC era un'iniziativa guidata dall'industria, guidata da dirigenti di Unisys e Palo Alto Networks e governata da un comitato di rappresentanti dell'industria e del governo di AT&T, Microsoft, Raytheon, CenturyLink, McAfee, Neustar, NSA e altre organizzazioni. L'uso di competizioni o sfide per raggiungere obiettivi strategici è "un modello consolidato per accelerare l'innovazione dell'intera nazione in aree critiche", dice Ryan Gillis, vicepresidente, strategia per la sicurezza informatica e politica globale.

Le grandi sfide alla sicurezza informatica sono un fenomeno recente. Il primo e, finora, unico grande Cyber ​​Grand Challenge (CGC) è stato creato dalla Defense Advanced Research Projects Agency (DARPA) e si è concluso con un concorso finale nel 2016 al 24-esimo DEFCON di Las Vegas. L'obiettivo era quello di ospitare il "primo torneo automatizzato di difesa della rete al mondo", modellato sulle gare di cattura della bandiera estremamente popolari tenute nelle principali conferenze di hacking, tra cui DEF CON.

L'originale Cyber ​​Grand Challenge (CGC) ha offerto un premio di $ 2 milioni alla squadra vincitrice finale, $ 1 milione per la squadra al secondo posto e $ 750.000 per il terzo classificato. I team CBC erano in competizione l'uno contro l'altro per creare sistemi basati sull'apprendimento automatico in grado di sfruttare contemporaneamente i difetti nei sistemi degli altri team mentre correggevano le vulnerabilità sui propri sistemi.

Per AllSecure, una start-up di sicurezza informatica che ha avuto le sue radici nei corridoi accademici della Carnegie Mellon University (CMU), ha sviluppato il sistema vincente chiamato Mayhem. L'importanza della svolta di ForAllSecure è stata ulteriormente confermata all'inizio di questo mese, quando l'Unità per l'innovazione della difesa le ha assegnato un contratto da $ 45 milioni per eseguire test di sicurezza informatica sulle applicazioni dei sistemi d'arma del Dipartimento della Difesa.

Le Cyber ​​Grand Challenge saranno "autentiche"

Il leader del team ForAllSecure durante CGC, e il CEO dell'azienda, è David Brumley, professore di ingegneria elettrica e informatica presso la CMU e consulente della facoltà per il team di hacking della scuola, che si è ritirato con cinque campionati nella competizione di hacking più importante tenuta ogni anno al DEFCON. Brumley pensa che i giochi, e in particolare il ramo della matematica chiamato teoria dei giochi, possano aiutare il governo degli Stati Uniti a proteggere la nazione facendo avanzare le conoscenze nella sicurezza informatica offensiva e difensiva. 

“Sono piuttosto entusiasta del fatto che il congresso sia coinvolto perché penso che sia il livello giusto. Questo è sicuramente anche un passo in più rispetto alla Cyber ​​Grand Challenge, che è cresciuta organicamente”, dice Brumley. "Ma devono stare attenti nel modo in cui lo gestiscono in modo che ispiri innovazioni."

Secondo il modo di pensare di Brumley, una chiave del successo originale della CGC era il suo leader Mike Walker, che ora è alla Microsoft ma allora guidava la concorrenza alla DARPA. “Era autentico nel campo. In particolare, era autentico nel campo degli hacker", afferma Brumley. "Se porti un CISO di Walmart e porti un CISO di Symantec, nessuno di quelli che sono là fuori sul campo sfruttando le cose o là fuori sul campo che difendono contro di essa se ne preoccuperà davvero."

Un altro modello che sottolinea il valore di come i concorsi e le competizioni sostenute dal governo federale possano far avanzare la sicurezza informatica è il President's Cup Cybersecurity Competition, che è stato istituito per ordine esecutivo nel 2019 ed è stato esaurito dalla recente creazione di Cybersecurity and Infrastructure Security Agency (CISA) presso il dipartimento della sicurezza nazionale. Il primo concorso della President's Cup si è tenuto lo scorso anno e ha richiamato oltre 1.000 persone e 200 squadre. Gli individui e le squadre hanno ricevuto una serie di sfide da risolvere con i vincitori che hanno incassato $ 25.000 in premi in denaro.

La President's Cup, tuttavia, non ha raggiunto il suo obiettivo di proporre l'innovazione della sicurezza informatica, afferma Brumley. "Penso che quello che è successo con la President's Cup sia che non è stata autentica", ha detto. "Le persone che lo gestivano non avevano mai partecipato a un concorso di hacking prima, non avevano mai vinto un concorso di hacking prima, quindi i migliori team non hanno partecipato."

Un elemento chiave nel guidare una vera competizione di sicurezza informatica verso il successo è capire il passaggio dalla scienza alla pratica. "Quindi, abbiamo lottato per un po' dopo CGC, e penso che il governo abbia fatto altrettanto con" qual è il piano di transizione?" Disse Brumley. "Come possiamo colmare la valle della morte tra l'esperimento scientifico... mostrando l'arte del possibile e qualcosa che le persone possono usare."

Potrebbe passare un po' di tempo prima che i concorsi raggiungano quella fase perché il Cyber ​​LEAP Act del 2020 ha ancora molta strada da fare prima di diventare realtà. Il disegno di legge bipartisan si è spostato dal Comitato al Senato, dove attenderà il passaggio, cosa non certa nell'attuale contesto legislativo guidato dalla crisi.

intopic.it