Commercial Solutions for Classified

Commercial Solutions for Classified (CSfC), también llamado COTS-for-Secret, es una iniciativa de la NSA que permite a las agencias del Gobierno Federal de los Estados Unidos usar soluciones basada en la composición de múltiples COTS propuestas por proveedores, a través del Commercial Solutions Partnership Program (CSPP), y que han sido verificadas y aprobadas por cumplir los estándares de seguridad nacional.[1][2]​ Desde el punto de vista de países aliados de Estados Unidos, CSfC permite que en algunos casos ya no tengan que utilizar dispositivos de criptografía de EE. UU., sino que pueden adquirir e implementar los suyos propios.[3]

La idea de CSfC no es reemplazar los productos de tipo 1, sino , basándose en las necesidades, poder usar la herramienta adecuada para cada caso.[4]

La idea detrás del programa CSfC es realizar Defensa en profundidad (DiD), un concepto de ciberseguridad por el que al poner múltiples soluciones comerciales de seguridad, uno encima del otro, el riesgo de que todas estas soluciones fallaran, es mucho más bajo de lo que sería cuando se utiliza una sola solución.[1]​ Uno de los requisitos claves en CSfC es el doble cifrado para datos en tránsito y datos en reposo.[1]​ Por ejemplo, las directrices de la NSA para la conectividad de múltiples sitios requieren que los paquetes de datos clasificados se cifren dos veces antes de enviarlo a través de una red no confiable: primero por un componente de cifrado interno, y luego por un componente de cifrado exterior.[1]​ Este doble cifrado de datos tiene que ser descifrado dos veces después de llegar a su destino.[1]

Hay gran número de dispositivos CSfC[1], entre los que se pueden encontrar enrutadores, servidores AAA, puntos de acceso, sistemas WIPS, MDM,...[5][6]

Comparación con productos de tipo 1

Como los productos CSfC están formados por composición de COTS y los Productos de tipo 1 son productos GOTS, esto lleva implícito que heredan las ventajas e inconvenientes de estos tipos de productos. Por ejemplo, CSfC acelera los tiempos en la obtención del producto y supone un potencial ahorro en los costes de desarrollo, reemplazo y mantenimiento del producto.[7]

Otras ventajas de CSfC frente a los productos de tipo 1 son:

  • No necesita entrenamiento especializado: Los productos de tipo 1 requieren conocimiento avanzado especializado.[1]​ Sin embargo, CSfC requiere solo conocimiento de tecnología comercial que ya conforman las arquitecturas de ciberseguridad estándar, por lo que en la mayoría de los casos, su equipo no tiene que pasar por entrenamiento especial para usarlos.[1]
  • Más rápido empezar a utilizarlas: normalmente es más fácil coger y empezar con CSfC, especialmente cuando se incrementa en la organización el uso de CSfC.[1]​ A veces empezar con los productos de tipo 1 puede ser más rápido porque son productos conocidos por el personal experimentado, pero esto debería cambiar se gún se vaya utilizando más CSFC.[1]
  • Mas flexibilidad técnica: Es habitual que CSfC permita más configuraciones.[1]​ Por ejemplo, es habitual que un producto CSfC permita más tipos de conexiones de red que un productos de tipo 1.[1]
  • Su posesión tiene menos riesgos. Los CSfC son menos rigurosos con los requisitos de propiedad y uso. Por ejemplo, no hay necesidad de seguridad vigilada por guardias 24/7.[1]​ Por tanto este tipo de productos son mejores candidatos para su uso en unidades remotas, centros de operaciones temporales o el caso de drones donde es fácil que caiga en manos enemigas.[1]
  • Facilita la colaboración entre agencias gubernamentales, aliados y entidades con distintos límites jurisdiccionales. Evita barreras para la colaboración ya que una más amplía la comunidad de socios que pueden usar estos métodos para compartir información clasificada de una forma segura.[7]
  • Utiliza estándares abiertos (inicialmente Suite B y luego Suite CNSA) mientras que los productos de tipo 1 usan algoritmos secretos (Suite A).[7]
  • Permite fácil gestión de claves usando PKI mientras que los productos de tipo 1 usan claves aprobadas por la NSA.[7]
  • El proceso de certificación dura un año o menos, mientras en los productos de tipo 1 tarda varios años.[7]​ Con CSfC la certificación lo que indica es que el desarrollador ha seguido las directrices de la NSA, la responsabilidad final del uso del dispositivo es dejada a la autoridad de aprovación designada o DAA (del inglés Designated Approving Authority) de la organización final.[2]

Desarrollo

Habitualmente una implementación CSfC requiere de al menos una docena de componentes de distintos proveedores y cada componente tiene que ser aprobado para su uso.[1]​ La NSA provee una arquitecturas de referencia para ser usadas como comienzo de la construcción de un tipo de producto CSfC.[1][2]​ El proveedor desarrolla una solución compuesta de la arquitectura publicada y presenta la solución a la NSA para su revisión y aprobación.[2][1]​ Finalmente la NSA decide si aprueba la implementación propuesta.[2][1]

Los componentes elegibles son publicados y actualizados periódicamente por la NSA.[8]​ Proveedores que quieran que sus productos sean elegibles como componentes CSfC tienen que enviar el componente a la NIAP para su evaluación y aprobación de acuerdo a perfile/s de protección aplicable/s del Gobierno de Estados Unidos (Common Criteria).[8]​ A continuación el proveedor tiene que someterse al FIPS para la validación del proceso y finalmente realizar un memorándum de acuerdo con la NSA.[8]

Además, la NSA también propone una lista de integradores confiables (Trusted Integrators) que son empresas que pueden ayudar en el desarrollo.[1]​ También hay proveedores que construyen bajo pedido productos CSfC y que permiten cierto grado de intervención durante el proceso de desarrollo.[1]

Referencias

  1. a b c d e f g h i j k l m n ñ o p q r NSA Type 1 Encryption Products vs. Commercial Solutions for Classified (CSfC). Vesh Bhatt. Attila Security
  2. a b c d e Embedded Systems Security: Practical Methods for Safe and Secure Software and System Developmnet. David Kleidermacher y Mike Kleidermacher. Elsevier Inc. 2012
  3. Diálogo: El Foro de las Américas. Dirección de operaciones en misiones de actores múltiples. 2015
  4. Commercial Solutions for Classified. Frequently Asked Questions (FAQs). NSA. Septiembre de 2018
  5. Acceso cliente de forma segura a los servicios de un PCMAAA a través de la tecnología inalámbrica. Juan Luis Flores Muñoz. Centro Universitario de la Defensa-Academia General Militar. 2018
  6. Commercial Solutions for Classified Program.Components List]. National Security Agency/Central Security Service
  7. a b c d e Envisioning the Future of Secure Communications. Juniper Networks. 2015
  8. a b c Examining Data at Rest Encryption: Commercial Solutions for Classified (CSfC) vs. Type 1 Certified Devices Archivado el 18 de octubre de 2021 en Wayback Machine.. General Dynamics. Octubre de 2020