Google vai investir mil milhões de dólares no reforço de cibersegurança dos EUA

A Microsoft também se compromete a investir em iniciativas críticas de segurança, com 20 mil milhões de dólares, ao longo de cinco anos.

Depois de se reunir com o Presidente dos EUA, Joe Biden, na passada quarta-feira, a Google anunciou que vai investir 10 mil milhões de dólares para reforçar a cibersegurança para as infraestruturas críticas do país. O investimento inclui a expansão de programas de Zero Trust, ajudando a proteger as cadeias de fornecimento de software e melhorando a segurança de código aberto, de acordo com informações do site da ZDNet.

O compromisso da Google em moldar a iniciativa de Zero Trust do governo dos EUA, baseada na ordem executiva de May sobre cibersegurança, abrange ferramentas de transmissão de código aberto para financiar desenvolvedores de kernel linux para trabalhar em segurança e aumentar o uso de linguagens de memória seguras no Linux, entre outras iniciativas iniciadas pela empresa há anos.

O investimento de 10 mil milhões de dólares da Google terá lugar ao longo de cinco anos.

O anúncio foi feito após uma reunião na Casa Branca na passada quarta-feira (25), que contou com Biden e representantes das maiores empresas tecnológicas dos EUA: Tim Cook, CEO da Apple, Satya Nadella, CEO da Microsoft, Andy Jassy, CEO da Amazon, Sundar Pichai, CEO da Google, entre outros representantes de grandes empresas. Na altura, Biden sublinhou que o país precisa do apoio do setor privado para combater as ameaças cibernéticas críticas.

A Microsoft também se comprometeu a investir em iniciativas críticas de segurança, com 20 mil milhões de dólares, ao longo de cinco anos.

Os investimentos fazem parte de uma resposta conjunta aos ciberataques críticos das infraestruturas dos EUA e para prevenir ameaças futuras de alto perfil, como o ataque de ransomware ao Oleoduto Colonial, o ataque da cadeia de fornecimento de software SolarWinds e o hack generalizado da Microsoft Exchange.

Embora o Google não esteja entre as 18 empresas de cibersegurança selecionadas para trabalhar com o programa do Instituto Nacional de Normalização e Tecnologia (NIST) do Departamento de Comércio dos EUA, a empresa passará a ser uma das contribuidoras para o mesmo.

“No Google, há muito que defendemos a proteção da cadeia de fornecimento de software através das nossas melhores práticas internas e esforços da indústria que aumentam a integridade e segurança do software. É por isso que estamos entusiasmados por colaborar com o Instituto Nacional de Normalização e Tecnologia (NIST) do Departamento de Comércio dos EUA para apoiar e desenvolver um novo quadro que ajude a melhorar a segurança e integridade da cadeia de fornecimento de tecnologia”, escreveram Eric Brewer e Dan Lorenc numa publicação do blogue da Google.

O programa vai criar projetos de Zero Trust a serem implementados por agências federais.

“Em vez de responder às vulnerabilidades, devemos eliminá-las proativamente com linguagens, plataformas e quadros seguros que impedem classes inteiras de insetos”, disse Brewer e Lorenc. “Prevenir problemas antes de saírem do teclado do developer é mais seguro e rentável do que tentar corrigir vulnerabilidades e consequências.”

Brewer apresentou quatro artigos em junho em resposta à Ordem Executiva de Cibersegurança de Biden de 14028. Um deles, diz a publicação ZDNet, aborda as questões de segurança inerentes à codificação na linguagem de programação C e o surgimento de Rust.

Brewer diz que “linguagens seguras e quadros de aplicações podem ser usados para impor um quadro em software que permite um raciocínio de alta confiança sobre a sua segurança em escala.” No entanto, o desafio é garantir que este requisito seja cumprido para o código C do “mundo real” e “muitas vezes requer um raciocínio difícil sobre a estrutura da memória heap”

“Da mesma forma, é difícil garantir a validação correta e a fuga para todos os dados que fluem para a marcação HTML de uma aplicação web, uma vez que os dados muitas vezes passam por vários componentes no seu caminho desde entradas para saídas, como através de um esquema de armazenamento”, escreveu Brewer. “Em contraste, Rust surgiu como uma alternativa prática a C e C++ como uma linguagem de desenvolvimento do sistema, incorporando uma postura segura, baseando-se na segurança da memória. O sistema tipo Rust impõe uma disciplina de propriedade que garante, por exemplo, que a memória libertada não pode ser acedida.”

Para tal, a Google está a apoiar um plano para colocar Rust no kernel linux como segunda língua para C. Lorenc e Brewer defendem que os bugs de software devem ser limitados desde o início, em vez de apenas reagirem a novas vulnerabilidades. A Microsoft e a Amazon Web Services também estão a apoiar a Rust como uma alternativa segura à memória C e C++ para a programação do sistema.

A Google defende testes de código de software, incluindo a utilização de ferramentas GitHub da Microsoft. A empresa também se pronunciou sobre a ideia de uma conta de software de materiais (SBOM) como parte da resposta oficial dos EUA aos ataques da cadeia de fornecimento de software.

“Os SBOM precisam de uma relação sinal-ruído razoável: se contiverem muita informação, não serão úteis, pelo que recomendamos que a NTIA [Administração Nacional de Telecomunicações e Informação] estabeleça os requisitos mínimos e máximos de granularidade e profundidade para casos de uso específico”, disse a Google.




Deixe um comentário

O seu email não será publicado