La commission sénatoriale du commerce a approuvé la semaine dernière ce qui pourrait s’avérer être un texte législatif essentiel pour les chercheurs en cybersécurité: les concours de cybersécurité pour obtenir de meilleurs efforts pour rechercher les derniers problèmes exceptionnellement avancés, ou la loi Cyber LEAP de 2020. Commandité par le président du comité du commerce, Roger Wicker (R-MS) et les sénateurs Cory Gardner (R-CO) et Jacky Rosen (D-NV), le projet de loi établit une série nationale de grands défis de cybersécurité afin que le pays puisse «réaliser des percées hautement prioritaires en matière de cybersécurité d’ici 2028».
[Découvrez comment faire des tests de pénétration à bon marché … et pas si bon marché. | Recevez les dernières nouvelles de CSO en vous inscrivant à nos newsletters. ]
Les défis mis en place en vertu de la législation offriront des prix, y compris des prix en espèces et non en espèces, aux gagnants du concours, bien que les prix ne soient pas encore précisés. La législation charge le secrétaire au commerce d’organiser les concours dans six domaines clés:
- Économie d’une cyberattaque, axée sur la construction de systèmes plus résilients tout en augmentant les coûts pour les adversaires
- Cyber formation, pour donner aux Américains des connaissances en sécurité numérique et renforcer les compétences de la cyber-main-d’œuvre
- Technologies émergentes, pour faire progresser les connaissances en cybersécurité dans les technologies émergentes telles que l’intelligence artificielle
- Réinventer l’identité numérique, visant à protéger l’identité numérique des internautes américains
- Résilience des agences fédérales, pour réduire les risques de cybersécurité pour les réseaux fédéraux et améliorer la réponse fédérale aux cyberattaques
- Autres défis déterminés par le secrétaire au commerce
Transformer l’approche de la société en matière de sécurité
La législation stipule en outre que le secrétaire au commerce devrait prendre en compte les recommandations d’un rapport de 2018 produit par le comité consultatif des télécommunications de sécurité nationale intitulé Rapport du NSTAC au président sur un Moonshot de cybersécurité. Ce rapport recommandait une approche appelée «Cybersecurity Moonshot» du nom des efforts de la NASA pour envoyer un homme sur la lune.
Contrairement à un atterrissage sur la lune, le clair de lune sur la cybersécurité décrit dans le rapport de 2018 vise une transformation de la société plutôt qu’un grand triomphe reconnaissable. Selon le rapport, l’approche du plan lunaire décrite par le NSTAC devrait également aboutir à un cadre stratégique clair pour l’ensemble du pays afin d’aider le gouvernement, l’industrie privée, le monde universitaire et la société civile à atteindre les objectifs du plan lunaire.
Le rapport NSTAC était une initiative dirigée par l’industrie, dirigée par des dirigeants d’Unisys et de Palo Alto Networks et dirigée par un comité composé de représentants de l’industrie et du gouvernement d’AT & T, Microsoft, Raytheon, CenturyLink, McAfee, Neustar, NSA et d’autres organisations. L’utilisation de concours ou de défis pour atteindre des objectifs stratégiques est «un modèle bien établi pour accélérer l’innovation à l’échelle nationale dans des domaines critiques», a déclaré Ryan Gillis, vice-président, stratégie de cybersécurité et politique mondiale, Palo Alto Networks, à CSO.
Les grands défis de la cybersécurité sont un phénomène récent. Le premier et, jusqu’à présent, le seul grand Cyber Grand Challenge (CGC) a été créé par la Defense Advanced Research Projects Agency (DARPA) et a abouti à un concours final en 2016 au 24ème DEF CON à Las Vegas. L’objectif était d’accueillir le « premier tournoi de défense de réseau automatisé au monde », sur le modèle des concours de capture du drapeau extrêmement populaires organisés lors de la plupart des grandes conférences de piratage, y compris DEF CON.
Le Cyber Grand Challenge original (CGC) a offert un prix de 2 millions de dollars à l’équipe gagnante ultime, 1 million de dollars pour l’équipe deuxième et 750 000 $ pour le troisième finaliste. Les équipes de la CBC se faisaient concurrence pour créer des systèmes basés sur le machine learning qui pouvaient simultanément exploiter les failles des systèmes des autres équipes tout en corrigeant les vulnérabilités de leurs propres systèmes.
ForAllSecure, une start-up de cybersécurité qui a ses racines dans les couloirs universitaires de l’Université Carnegie Mellon (CMU), a développé le système gagnant appelé Mayhem. L’importance de la percée de ForAllSecure a été confirmée encore plus tôt ce mois-ci lorsque la Defense Innovation Unit lui a attribué un contrat de 45 millions de dollars pour effectuer des tests de cybersécurité sur les applications des systèmes d’armes du ministère de la Défense.
Les Cyber Grands Défis seront « authentiques »
Le chef de l’équipe ForAllSecure pendant la CCG, et le PDG de l’entreprise, est David Brumley, professeur de génie électrique et informatique à la CMU et conseiller pédagogique de l’équipe de piratage de l’école, qui a remporté cinq championnats lors de la meilleure compétition de piratage organisée. chaque année au DEF CON. Brumley pense que les jeux, et en particulier la branche des mathématiques appelée théorie des jeux, peuvent aider le gouvernement américain à protéger la nation en faisant progresser les connaissances en matière de cybersécurité offensive et défensive.
«Je suis assez excité que le congrès s’implique parce que je pense que c’est le bon niveau. C’est certainement encore une étape plus importante que le Cyber Grand Challenge, qui a connu une croissance organique », a déclaré Brumley au CSO. « Mais ils doivent être prudents dans la façon dont ils le gèrent afin qu’il inspire les innovations. »
Pour Brumley, une des clés du succès de la CCG originale était son chef Mike Walker, qui est maintenant chez Microsoft, mais à l’époque dirigeait la compétition au DARPA. «Il était authentique sur le terrain. En particulier, il était authentique dans le domaine des hackers », explique Brumley. « Si vous apportez un CISO de Walmart et vous apportez un CISO de Symantec, aucune des personnes qui sont sur le terrain pour exploiter des choses ou sur le terrain pour se défendre ne s’en souciera vraiment. »
Un autre modèle qui souligne la valeur de la façon dont les concours et compétitions soutenus par le gouvernement fédéral peuvent faire progresser la cybersécurité est le Concours de cybersécurité de la Coupe du Président, qui a été créé par décret en 2019 et qui était dirigé par la nouvelle Cybersecurity and Infrastructure Security Agency (CISA) à le Département de la sécurité intérieure. Le premier concours de la Coupe du Président a eu lieu l’année dernière et a attiré plus de 1 000 personnes et 200 équipes. Les individus et les équipes ont été confrontés à une série de défis à résoudre, les gagnants ayant remporté 25 000 $ en prix.
La Coupe du Président n’a toutefois pas atteint son objectif de proposer une innovation en matière de cybersécurité, a déclaré Brumley. « Je pense que ce qui s’est passé avec la Coupe du Président, c’est qu’elle était très inauthentique », a-t-il déclaré. « Les personnes qui l’ont dirigé n’avaient jamais participé à un concours de piratage auparavant, n’avaient jamais remporté de concours de piratage auparavant, donc les meilleures équipes n’ont pas participé. »
Un élément clé pour guider une véritable compétition de cybersécurité vers le succès consiste à passer de la science à la pratique. « Donc, nous avons lutté un peu après la CCG, et je pense que le gouvernement a fait de même avec » quel est le plan de transition? » Dit Brumley. « Comment pouvons-nous combler la vallée de la mort entre l’expérience scientifique … montrant l’art du possible et quelque chose que les gens peuvent utiliser. »
Il pourrait s’écouler un certain temps avant que les concours n’atteignent ce stade, car la loi Cyber LEAP de 2020 a encore du chemin à parcourir avant de devenir réalité. Le projet de loi bipartite est passé du comité au Sénat où il attend son adoption, ce qui n’est pas sûr dans le contexte législatif actuel provoqué par la crise.
Intéressant ! Ça va permettre d’encourager l’innovation.
J’espère que ces concours permettront de mieux protéger nos données.
J’espère que ça va fonctionner pour améliorer la sécurité en ligne.
Enfin une avancée dans le domaine de la cybersécurité !
C’est intéressant de voir comment le gouvernement s’implique dans l’innovation en matière de cybersécurité. J’espère que ces concours donneront de bons résultats « .
Je me demande comment ils vont organiser tout ça.
J’espère que ces concours aboutiront à des avancées concrètes dans la cybersécurité.
Ce projet de loi semble prometteur pour améliorer la sécurité dans le cyberespace.
J’approuve l’idée d’investir dans les technologies émergentes liées à la cybersécurité.
C’est une bonne initiative pour encourager de nouveaux talents en cybersécurité.
J’attends de voir les résultats de ces concours.
J’espère simplement que les concours seront bien organisés et équitables pour tous les participants.
C’est une bonne idée d’organiser des concours pour encourager la recherche en cybersécurité.
Je suis curieuse de voir qui va participer à ces concours.
Il semble que des progrès significatifs aient déjà été réalisés dans ce domaine, ce qui est encourageant.
Ce n’est pas trop tôt, la cybersecurité est tellement importante.
Il serait temps de renforcer la sécurité en ligne. C’est une bonne nouvelle.
Le modèle de concours a déjà fait ses preuves, donc c’est une bonne approche dans ce domaine.
C’est intéressant de voir comment les concours de cybersécurité peuvent stimuler l’innovation.
La transformation de l’approche de la société en matière de sécurité semble être un objectif ambitieux.
Cela pourrait vraiment aider à améliorer la cybersécurité.
C’est un bon moyen de motiver les chercheurs.
Je me demande comment cela va fonctionner.
J’ai hâte de voir les résultats.
Cela semble être une bonne idée.
J’espère que cela aidera à renforcer la sécurité en ligne.
C’est vraiment intéressant!
J’aime l’idée des prix en espèces.
Je vais en parler à mes amis.
Je n’y avais jamais pensé!
J’espère que cela aura un impact positif sur la sécurité en ligne.
J’espère que cela incitera plus de personnes à se former en cybersécurité.
Je me demande comment les concours vont fonctionner.
Je pense que c’est important de trouver des moyens novateurs pour améliorer la cybersécurité.
Intéressant, cela va-t-il vraiment améliorer la cybersécurité ?
Cela semble être une approche prometteuse pour lutter contre les cybermenaces.
On dirait que c’est une grande initiative, mais je me demande comment ils choisiront les gagnants.
J’attends de voir comment cela se déroule dans la pratique.
J’espère que des progrès significatifs seront réalisés grâce à ces compétitions.
Cela me paraît un peu compliqué, j’espère que ça vaudra la peine.
Les concours dans le domaine de la cybersécurité peuvent conduire à des avancées majeures, j’ai hâte de voir ce qui en sortira.
Intéressant, je pense pas que la cyber sécurité était si importante.
Je n’ai jamais entendu parler de concours de cybersécurité avant.
Je ne savais pas que la cybersécurité avait tant de facettes différentes.
Je suis sûr que ces concours de cybersécurité aideront beaucoup à trouver des solutions.
C’est difficile à comprendre, mais c’est bien que ce sujet soit pris au sérieux.
C’est un bon moyen d’encourager la recherche en cybersécurité.
Quelle bonne idée de réinventer l’identité numérique.
Je suis sûr que l’industrie privée va participer à ces concours.
C’est bien de voir que des prix en espèces sont offerts pour ces concours.
J’espère que ces concours vont vraiment aider à protéger nos données.