Regeringens Mandat om Software Bill of Materials (SBOM) er en del af...

SBOM'er er meningsløse, medmindre de er en del af en større strategi, der identificerer risici og sårbarheder på tværs af softwareforsyningskædens ledelsessystem.

RIEGELSVILLE, Pa. (PRWEB) Marts 13, 2023

Antallet af cyberangreb udført mod offentlige sektorer på verdensplan steg med 95 % i andet halvår af 2022 sammenlignet med samme periode i 2021.(1) De globale omkostninger ved cyberangreb forventes at vokse eksponentielt fra 8.44 billioner USD i 2022 til 23.84 billioner USD med 2027.(2) For at understøtte nationens kritiske infrastruktur og føderale regeringsnetværk udstedte Det Hvide Hus Executive Order 14028, "Forbedring af nationens cybersikkerhed" i maj 2021.(3) EO definerer de sikkerhedsforanstaltninger, der skal følges af enhver software udgiver eller udvikler, der gør forretninger med den føderale regering. En af disse foranstaltninger kræver, at alle softwareudviklere leverer en Software Bill of Materials (SBOM), en komplet inventarliste over komponenter og biblioteker, der omfatter en softwareapplikation. Walt Szablowski, grundlægger og administrerende formand for Eracent, som har givet fuldstændig synlighed i sine store virksomhedskunders netværk i over to årtier, bemærker, "SBOM'er er meningsløse, medmindre de er en del af en større strategi, der identificerer risici og sårbarheder på tværs af softwareforsyningskædens styringssystem."

National Telecommunications and Information Administration (NTIA) definerer en Software Bill of Materials som "en komplet, formelt struktureret liste over komponenter, biblioteker og moduler, der er nødvendige for at bygge et givet stykke software og forsyningskæderelationerne mellem dem."( 4) USA er særligt sårbart over for cyberangreb, fordi meget af dets infrastruktur er kontrolleret af private virksomheder, som muligvis ikke er udstyret med det sikkerhedsniveau, der er nødvendigt for at forhindre et angreb.(5) Den vigtigste fordel ved SBOM'er er, at de gør det muligt for organisationer at identificere om nogen af ​​komponenterne, der udgør en softwareapplikation, kan have en sårbarhed, der kan skabe en sikkerhedsrisiko.

Mens amerikanske regeringsorganer vil få mandat til at vedtage SBOM'er, vil kommercielle virksomheder helt klart drage fordel af dette ekstra sikkerhedsniveau. Fra 2022 er de gennemsnitlige omkostninger ved et databrud i USA $9.44 millioner, med et globalt gennemsnit på $4.35 millioner.(6) Ifølge en rapport fra Government Accountability Office (GAO) driver den føderale regering tre ældre teknologisystemer, der går tilbage fem årtier. GAO advarede om, at disse forældede systemer øger sikkerhedssårbarhederne og kører ofte på hardware og software, der ikke længere understøttes.(7)

Szablowski forklarer: "Der er to nøgleaspekter, som enhver organisation bliver nødt til at forholde sig til, når de bruger SBOM'er. For det første skal de have et værktøj, der hurtigt kan læse alle detaljerne i en SBOM, matche resultaterne med kendte sårbarhedsdata og give heads-up rapportering. For det andet skal de være i stand til at etablere en automatiseret, proaktiv proces for at holde sig på forkant med SBOM-relateret aktivitet og alle de unikke afbødningsmuligheder og processer for hver komponent eller softwareapplikation."

Eracents banebrydende Intelligent Cybersecurity Platform (ICSP)™ Cyber ​​Supply Chain Risk Management™ (C-SCRM) modul er unik ved, at den understøtter begge disse aspekter for at give et yderligere, kritisk beskyttelsesniveau for at minimere softwarebaserede sikkerhedsrisici. Dette er vigtigt, når du starter et proaktivt, automatiseret SBOM-program. ICSP C-SCRM tilbyder omfattende beskyttelse med øjeblikkelig synlighed for at afbøde enhver sårbarhed på komponentniveau. Den genkender forældede komponenter, der også kan øge sikkerhedsrisikoen. Processen læser automatisk de specificerede detaljer i SBOM'en og matcher hver anført komponent til de mest opdaterede sårbarhedsdata ved hjælp af Eracents IT-Pedia® IT Product Data Library - en enkelt, autoritativ kilde til væsentlige data vedrørende millioner af it-hardware og softwareprodukter."

Langt de fleste kommercielle og brugerdefinerede applikationer indeholder open source-kode. Standardværktøjer til sårbarhedsanalyse undersøger ikke individuelle open source-komponenter i applikationer. Enhver af disse komponenter kan dog indeholde sårbarheder eller forældede komponenter, hvilket øger softwarens modtagelighed over for cybersikkerhedsbrud. Szablowski bemærker, "De fleste værktøjer giver dig mulighed for at oprette eller analysere SBOM'er, men de tager ikke en konsolideret, proaktiv ledelsestilgang - struktur, automatisering og rapportering. Virksomheder skal forstå de risici, der kan eksistere i den software, de bruger, uanset om de er open source eller proprietær. Og softwareudgivere skal forstå de potentielle risici, der er forbundet med de produkter, de tilbyder. Organisationer skal styrke deres cybersikkerhed med det forbedrede niveau af beskyttelse, Eracents ICSP C-SCRM-system leverer."

Om Eracent

Walt Szablowski er grundlægger og administrerende formand for Eracent og fungerer som formand for Eracents datterselskaber (Eracent SP ZOO, Warszawa, Polen; Eracent Private LTD i Bangalore, Indien; og Eracent Brasilien). Eracent hjælper sine kunder med at håndtere udfordringerne med at administrere it-netværksaktiver, softwarelicenser og cybersikkerhed i nutidens komplekse og udviklende it-miljøer. Eracents virksomhedskunder sparer betydeligt på deres årlige softwareudgifter, reducerer deres revisions- og sikkerhedsrisici og etablerer mere effektive asset management processer. Eracents kundebase omfatter nogle af verdens største virksomheds- og regeringsnetværk og it-miljøer - USPS, VISA, US Airforce, British Defense Ministry - og snesevis af Fortune 500-virksomheder er afhængige af Eracent-løsninger til at administrere og beskytte deres netværk. Besøg https://eracent.com/. 

Referencer:
1) Venkat, A. (2023, 4. januar). Cyberangreb mod regeringer steg med 95 % i sidste halvdel af 2022, siger Cloudsek. CSO online. Hentet 23. februar 2023 fra csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek says.html#:~:text=The%20number%20of %20attacks%20targeting,AI%2Dbased%20cybersecurity%20company%20CloudSek
2) Fleck, A., Richter, F. (2022, 2. december). Infografik: Cyberkriminalitet forventes at skyde i vejret i de kommende år. Statistik infografik. Hentet 23. februar 2023 fra statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=Ifølge%20to%20estimates%20from%20Statista's,to%20%2423.84%20trill. %20af%202027
3) Bekendtgørelse om forbedring af landets cybersikkerhed. Cybersikkerheds- og infrastruktursikkerhedsagenturet CISA. (nd). Hentet 23. februar 2023 fra cisa.gov/executive-order-improving-nations-cybersecurity
4) Linux Foundation. (2022, 13. september). Hvad er en SBOM? Linux Foundation. Hentet 23. februar 2023 fra linuxfoundation.org/blog/blog/what-is-an-sbom
5) Christofaro, B. (nd). Cyberangreb er krigens nyeste grænse og kan ramme hårdere end en naturkatastrofe. her er grunden til, at USA kunne kæmpe for at klare sig, hvis det blev ramt. Business Insider. Hentet 23. februar 2023 fra businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) Udgivet af Ani Petrosyan, 4, S. (2022, 4. september). Omkostninger ved et databrud i USA 2022. Statista. Hentet 23. februar 2023 fra statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/
7) Malone, K. (2021, 30. april). Den føderale regering kører 50 år gammel teknologi – uden planlagte opdateringer. CIO dyk. Hentet 23. februar 2023 fra ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/

Del artiklen om sociale medier eller e-mail: