تفويض قانون المواد الخاص بالبرامج الحكومية (SBOM) هو جزء من ...

SBOMs لا معنى لها ما لم تكن جزءًا من إستراتيجية أكبر تحدد المخاطر ونقاط الضعف عبر نظام إدارة سلسلة توريد البرامج.

ريجيلسفيل ، بنسلفانيا (PRWEB) 13 آذار، 2023

ارتفع عدد الهجمات الإلكترونية التي تم شنها ضد القطاعات الحكومية في جميع أنحاء العالم بنسبة 95٪ في النصف الثاني من عام 2022 مقارنة بالفترة نفسها في عام 2021. [1) من المتوقع أن تنمو التكلفة العالمية للهجمات الإلكترونية بشكل كبير من 8.44 تريليون دولار أمريكي في عام 2022 إلى 23.84 تريليون دولار أمريكي بحلول عام 2027. 2. [14028) لدعم البنية التحتية الحيوية للدولة وشبكات الحكومة الفيدرالية ، أصدر البيت الأبيض الأمر التنفيذي رقم 2021 ، "تحسين الأمن السيبراني للأمة" في مايو 3. [XNUMX) يحدد مكتب الأخلاقيات الإجراءات الأمنية التي يجب أن يتبعها أي برنامج. ناشرًا أو مطورًا يتعامل مع الحكومة الفيدرالية. يتطلب أحد هذه الإجراءات من جميع مطوري البرامج تقديم قائمة مواد البرامج (SBOM) ، وقائمة جرد كاملة للمكونات والمكتبات التي تشتمل على تطبيق برمجي. والت Szablowski ، المؤسس والرئيس التنفيذي لشركة إراينت، التي وفرت رؤية كاملة لشبكات عملائها من المؤسسات الكبيرة لأكثر من عقدين من الزمان ، تلاحظ أن "SBOMs لا معنى لها ما لم تكن جزءًا من استراتيجية أكبر تحدد المخاطر ونقاط الضعف عبر نظام إدارة سلسلة توريد البرامج".

تُعرِّف الإدارة الوطنية للاتصالات والمعلومات (NTIA) قائمة مواد البرمجيات بأنها "قائمة كاملة ومنظمة رسميًا من المكونات والمكتبات والوحدات النمطية المطلوبة لبناء برنامج معين وعلاقات سلسلة التوريد فيما بينها." ( 4) الولايات المتحدة معرضة بشكل خاص للهجمات الإلكترونية لأن الكثير من بنيتها التحتية تخضع لسيطرة شركات خاصة قد لا تكون مجهزة بمستوى الأمان اللازم لإحباط أي هجوم. ما إذا كان أي من المكونات التي تشكل تطبيقًا برمجيًا قد يكون به ثغرة أمنية يمكن أن تؤدي إلى مخاطر أمنية.

بينما سيتم تكليف الوكالات الحكومية الأمريكية بتبني SBOMs ، ستستفيد الشركات التجارية بوضوح من هذا المستوى الإضافي من الأمان. اعتبارًا من عام 2022 ، بلغ متوسط ​​تكلفة خرق البيانات في الولايات المتحدة 9.44 مليون دولار ، بمتوسط ​​عالمي يبلغ 4.35 مليون دولار. [6) وفقًا لتقرير مكتب المساءلة الحكومية (GAO) ، تدير الحكومة الفيدرالية ثلاثة أنظمة تقنية قديمة تعود إلى الوراء خمسة عقود. حذر مكتب المساءلة الحكومية من أن هذه الأنظمة القديمة تزيد من نقاط الضعف الأمنية وتعمل بشكل متكرر على الأجهزة والبرامج التي لم تعد مدعومة. [7)

يوضح Szablowski ، "هناك جانبان رئيسيان يجب على كل منظمة معالجتهما عند استخدام SBOMs. أولاً ، يجب أن يكون لديهم أداة يمكنها قراءة جميع التفاصيل الموجودة في SBOM بسرعة ، ومطابقة النتائج ببيانات الثغرات الأمنية المعروفة ، وتقديم تقارير تنبيهية. ثانيًا ، يجب أن يكونوا قادرين على إنشاء عملية آلية واستباقية للبقاء على اطلاع على النشاط المرتبط بـ SBOM وجميع خيارات التخفيف الفريدة والعمليات لكل مكون أو تطبيق برمجي. "

منصة Eracent الذكية للأمن السيبراني (ICSP) ™ Cyber ​​Supply Chain Risk Management (C-SCRM) وحدة فريد من نوعه من حيث أنه يدعم كلا الجانبين لتوفير مستوى إضافي مهم من الحماية لتقليل مخاطر الأمان المستندة إلى البرامج. هذا ضروري عند بدء برنامج استباقي مؤتمت SBOM. يوفر ICSP C-SCRM حماية شاملة مع رؤية فورية للتخفيف من أي ثغرات أمنية على مستوى المكونات. يتعرف على المكونات القديمة التي يمكن أن تزيد أيضًا من مخاطر الأمان. تقرأ العملية تلقائيًا التفاصيل التفصيلية داخل SBOM وتطابق كل مكون مدرج بأحدث بيانات الثغرات الأمنية باستخدام مكتبة بيانات منتجات تكنولوجيا المعلومات IT-Pedia® الخاصة بـ Eracent - وهي مصدر موثوق واحد للبيانات الأساسية المتعلقة بالملايين من أجهزة تكنولوجيا المعلومات و منتجات البرمجيات. "

تحتوي الغالبية العظمى من التطبيقات التجارية والمخصصة على كود مفتوح المصدر. لا تقوم أدوات تحليل الثغرات الأمنية القياسية بفحص المكونات الفردية مفتوحة المصدر داخل التطبيقات. ومع ذلك ، قد يحتوي أي من هذه المكونات على ثغرات أمنية أو مكونات قديمة ، مما يزيد من تعرض البرامج لانتهاكات الأمن السيبراني. يلاحظ Szablowski ، "تتيح لك معظم الأدوات إنشاء SBOMs أو تحليلها ، لكنها لا تتبع نهجًا إداريًا موحدًا واستباقيًا - الهيكل والأتمتة وإعداد التقارير. تحتاج الشركات إلى فهم المخاطر التي قد تكون موجودة في البرامج التي تستخدمها ، سواء كانت مفتوحة المصدر أو مملوكة. ويحتاج ناشرو البرامج إلى فهم المخاطر المحتملة الكامنة في المنتجات التي يقدمونها. تحتاج المنظمات إلى تعزيز الأمن السيبراني لديها من خلال المستوى المعزز للحماية التي يوفرها نظام Eracent's ICSP C-SCRM ".

حول Eracent

والت زابلوفسكي هو المؤسس والرئيس التنفيذي لشركة Eracent ويشغل منصب رئيس الشركات التابعة لـ Eracent (Eracent SP ZOO ، وارسو ، بولندا ؛ Eracent Private LTD في بنغالور ، الهند ؛ و Eracent Brazil). تساعد Eracent عملائها على مواجهة تحديات إدارة أصول شبكات تكنولوجيا المعلومات وتراخيص البرامج والأمن السيبراني في بيئات تكنولوجيا المعلومات المعقدة والمتطورة اليوم. يوفر عملاء المؤسسة في Eracent توفيرًا كبيرًا في إنفاقهم السنوي على البرامج ، ويقللون من مخاطر التدقيق والأمن ، ويؤسسوا عمليات إدارة أصول أكثر كفاءة. تتضمن قاعدة عملاء Eracent بعضًا من أكبر شبكات الشركات والحكومة وبيئات تكنولوجيا المعلومات في العالم - USPS و VISA والقوات الجوية الأمريكية ووزارة الدفاع البريطانية - وتعتمد العشرات من شركات Fortune 500 على حلول Eracent لإدارة شبكاتهم وحمايتها. يزور https://eracent.com/. 

المراجع:
1) أ. فينكات (2023 ، 4 يناير). يقول كلاودسيك إن الهجمات الإلكترونية ضد الحكومات قفزت 95٪ في النصف الأخير من عام 2022. CSO Online. تم الاسترجاع في 23 فبراير 2023 ، من csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek says.html #: ~: text = The٪ 20number٪ 20of ٪ 20attacks٪ 20targeting، AI٪ 2Dbased٪ 20 cybersecurity٪ 20company٪ 20CloudSek
2) فليك ، أ. ، ريختر ، ف. (2022 ، 2 ديسمبر). إنفوجرافيك: من المتوقع أن ترتفع الجرائم الإلكترونية في السنوات القادمة. الرسوم البيانية Statista. تم الاسترجاع في 23 فبراير 2023 ، من statista.com/chart/28878/ Forecast-cost-of-cybercrime-until-2027/#:~:text=According٪20to٪20estimates٪20from٪20Statista's،to٪20٪2423.84٪20trillion ٪ 20by٪ 202027
3) أمر تنفيذي بشأن تحسين الأمن السيبراني للدولة. وكالة الأمن السيبراني وأمن البنية التحتية CISA. (اختصار الثاني). تم الاسترجاع في 23 فبراير 2023 ، من cisa.gov/executive-order-improving-nations-cybersecurity
4) مؤسسة لينكس. (2022 ، 13 سبتمبر). ما هو SBOM؟ مؤسسة لينكس. تم الاسترجاع في 23 فبراير 2023 ، من linuxfoundation.org/blog/blog/what-is-an-sbom
5) كريستوفارو ، ب. (بدون تاريخ). الهجمات الإلكترونية هي أحدث حدود الحرب ويمكن أن تضرب بقوة أكبر من الكوارث الطبيعية. هذا هو السبب الذي يجعل الولايات المتحدة قد تكافح من أجل التأقلم إذا تعرضت للضرب. مهتم بالتجارة. تم الاسترجاع في 23 فبراير 2023 ، من businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) نشره Ani Petrosyan، 4، S. (2022، September 4). تكلفة خرق البيانات في الولايات المتحدة 2022. Statista. تم الاسترجاع في 23 فبراير 2023 ، من statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/
7) مالون ، ك. (2021 ، 30 أبريل). تدير الحكومة الفيدرالية تقنية عمرها 50 عامًا - دون التخطيط لتحديثات. الغوص CIO. تم الاسترجاع في 23 فبراير 2023 ، من ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/

حصة المقال على وسائل الاعلام الاجتماعية أو البريد الإلكتروني: