La commission sénatoriale du commerce a approuvé la semaine dernière ce qui pourrait s’avérer être un texte législatif essentiel pour les chercheurs en cybersécurité: les concours de cybersécurité pour obtenir de meilleurs efforts pour rechercher les derniers problèmes exceptionnellement avancés, ou la loi Cyber LEAP de 2020. Commandité par le président du comité du commerce, Roger Wicker (R-MS) et les sénateurs Cory Gardner (R-CO) et Jacky Rosen (D-NV), le projet de loi établit une série nationale de grands défis de cybersécurité afin que le pays puisse «réaliser des percées hautement prioritaires en matière de cybersécurité d’ici 2028».
[Découvrez comment faire des tests de pénétration à bon marché … et pas si bon marché. | Recevez les dernières nouvelles de CSO en vous inscrivant à nos newsletters. ]
Les défis mis en place en vertu de la législation offriront des prix, y compris des prix en espèces et non en espèces, aux gagnants du concours, bien que les prix ne soient pas encore précisés. La législation charge le secrétaire au commerce d’organiser les concours dans six domaines clés:
- Économie d’une cyberattaque, axée sur la construction de systèmes plus résilients tout en augmentant les coûts pour les adversaires
- Cyber formation, pour donner aux Américains des connaissances en sécurité numérique et renforcer les compétences de la cyber-main-d’œuvre
- Technologies émergentes, pour faire progresser les connaissances en cybersécurité dans les technologies émergentes telles que l’intelligence artificielle
- Réinventer l’identité numérique, visant à protéger l’identité numérique des internautes américains
- Résilience des agences fédérales, pour réduire les risques de cybersécurité pour les réseaux fédéraux et améliorer la réponse fédérale aux cyberattaques
- Autres défis déterminés par le secrétaire au commerce
Transformer l’approche de la société en matière de sécurité
La législation stipule en outre que le secrétaire au commerce devrait prendre en compte les recommandations d’un rapport de 2018 produit par le comité consultatif des télécommunications de sécurité nationale intitulé Rapport du NSTAC au président sur un Moonshot de cybersécurité. Ce rapport recommandait une approche appelée «Cybersecurity Moonshot» du nom des efforts de la NASA pour envoyer un homme sur la lune.
Contrairement à un atterrissage sur la lune, le clair de lune sur la cybersécurité décrit dans le rapport de 2018 vise une transformation de la société plutôt qu’un grand triomphe reconnaissable. Selon le rapport, l’approche du plan lunaire décrite par le NSTAC devrait également aboutir à un cadre stratégique clair pour l’ensemble du pays afin d’aider le gouvernement, l’industrie privée, le monde universitaire et la société civile à atteindre les objectifs du plan lunaire.
Le rapport NSTAC était une initiative dirigée par l’industrie, dirigée par des dirigeants d’Unisys et de Palo Alto Networks et dirigée par un comité composé de représentants de l’industrie et du gouvernement d’AT & T, Microsoft, Raytheon, CenturyLink, McAfee, Neustar, NSA et d’autres organisations. L’utilisation de concours ou de défis pour atteindre des objectifs stratégiques est «un modèle bien établi pour accélérer l’innovation à l’échelle nationale dans des domaines critiques», a déclaré Ryan Gillis, vice-président, stratégie de cybersécurité et politique mondiale, Palo Alto Networks, à CSO.
Les grands défis de la cybersécurité sont un phénomène récent. Le premier et, jusqu’à présent, le seul grand Cyber Grand Challenge (CGC) a été créé par la Defense Advanced Research Projects Agency (DARPA) et a abouti à un concours final en 2016 au 24ème DEF CON à Las Vegas. L’objectif était d’accueillir le « premier tournoi de défense de réseau automatisé au monde », sur le modèle des concours de capture du drapeau extrêmement populaires organisés lors de la plupart des grandes conférences de piratage, y compris DEF CON.
Le Cyber Grand Challenge original (CGC) a offert un prix de 2 millions de dollars à l’équipe gagnante ultime, 1 million de dollars pour l’équipe deuxième et 750 000 $ pour le troisième finaliste. Les équipes de la CBC se faisaient concurrence pour créer des systèmes basés sur le machine learning qui pouvaient simultanément exploiter les failles des systèmes des autres équipes tout en corrigeant les vulnérabilités de leurs propres systèmes.
ForAllSecure, une start-up de cybersécurité qui a ses racines dans les couloirs universitaires de l’Université Carnegie Mellon (CMU), a développé le système gagnant appelé Mayhem. L’importance de la percée de ForAllSecure a été confirmée encore plus tôt ce mois-ci lorsque la Defense Innovation Unit lui a attribué un contrat de 45 millions de dollars pour effectuer des tests de cybersécurité sur les applications des systèmes d’armes du ministère de la Défense.
Les Cyber Grands Défis seront « authentiques »
Le chef de l’équipe ForAllSecure pendant la CCG, et le PDG de l’entreprise, est David Brumley, professeur de génie électrique et informatique à la CMU et conseiller pédagogique de l’équipe de piratage de l’école, qui a remporté cinq championnats lors de la meilleure compétition de piratage organisée. chaque année au DEF CON. Brumley pense que les jeux, et en particulier la branche des mathématiques appelée théorie des jeux, peuvent aider le gouvernement américain à protéger la nation en faisant progresser les connaissances en matière de cybersécurité offensive et défensive.
«Je suis assez excité que le congrès s’implique parce que je pense que c’est le bon niveau. C’est certainement encore une étape plus importante que le Cyber Grand Challenge, qui a connu une croissance organique », a déclaré Brumley au CSO. « Mais ils doivent être prudents dans la façon dont ils le gèrent afin qu’il inspire les innovations. »
Pour Brumley, une des clés du succès de la CCG originale était son chef Mike Walker, qui est maintenant chez Microsoft, mais à l’époque dirigeait la compétition au DARPA. «Il était authentique sur le terrain. En particulier, il était authentique dans le domaine des hackers », explique Brumley. « Si vous apportez un CISO de Walmart et vous apportez un CISO de Symantec, aucune des personnes qui sont sur le terrain pour exploiter des choses ou sur le terrain pour se défendre ne s’en souciera vraiment. »
Un autre modèle qui souligne la valeur de la façon dont les concours et compétitions soutenus par le gouvernement fédéral peuvent faire progresser la cybersécurité est le Concours de cybersécurité de la Coupe du Président, qui a été créé par décret en 2019 et qui était dirigé par la nouvelle Cybersecurity and Infrastructure Security Agency (CISA) à le Département de la sécurité intérieure. Le premier concours de la Coupe du Président a eu lieu l’année dernière et a attiré plus de 1 000 personnes et 200 équipes. Les individus et les équipes ont été confrontés à une série de défis à résoudre, les gagnants ayant remporté 25 000 $ en prix.
La Coupe du Président n’a toutefois pas atteint son objectif de proposer une innovation en matière de cybersécurité, a déclaré Brumley. « Je pense que ce qui s’est passé avec la Coupe du Président, c’est qu’elle était très inauthentique », a-t-il déclaré. « Les personnes qui l’ont dirigé n’avaient jamais participé à un concours de piratage auparavant, n’avaient jamais remporté de concours de piratage auparavant, donc les meilleures équipes n’ont pas participé. »
Un élément clé pour guider une véritable compétition de cybersécurité vers le succès consiste à passer de la science à la pratique. « Donc, nous avons lutté un peu après la CCG, et je pense que le gouvernement a fait de même avec » quel est le plan de transition? » Dit Brumley. « Comment pouvons-nous combler la vallée de la mort entre l’expérience scientifique … montrant l’art du possible et quelque chose que les gens peuvent utiliser. »
Il pourrait s’écouler un certain temps avant que les concours n’atteignent ce stade, car la loi Cyber LEAP de 2020 a encore du chemin à parcourir avant de devenir réalité. Le projet de loi bipartite est passé du comité au Sénat où il attend son adoption, ce qui n’est pas sûr dans le contexte législatif actuel provoqué par la crise.