Das Mandat der Regierung zur Software Bill of Materials (SBOM) ist Teil von…

SBOMs sind bedeutungslos, es sei denn, sie sind Teil einer umfassenderen Strategie, die Risiken und Schwachstellen im gesamten Software Supply Chain Management System identifiziert.

RIEGELSVILLE, Pennsylvania (PRWEB) 13. März 2023

Die Zahl der gegen Regierungssektoren weltweit geführten Cyberangriffe ist in der zweiten Hälfte des Jahres 95 im Vergleich zum gleichen Zeitraum im Jahr 2022 um 2021 % gestiegen.(1) Die globalen Kosten von Cyberangriffen werden voraussichtlich exponentiell von 8.44 Billionen US-Dollar im Jahr 2022 auf 23.84 Billionen US-Dollar ansteigen 2027. (2) Um die kritische Infrastruktur und die Netzwerke der Bundesregierung zu unterstützen, erließ das Weiße Haus im Mai 14028 die Executive Order 2021 „Improving the Nation’s Cybersecurity“. (3) Das EO definiert die Sicherheitsmaßnahmen, die von jeder Software befolgt werden müssen Herausgeber oder Entwickler, der mit der Bundesregierung Geschäfte macht. Eine dieser Maßnahmen erfordert, dass alle Softwareentwickler eine Software Bill of Materials (SBOM) bereitstellen, eine vollständige Bestandsliste der Komponenten und Bibliotheken, aus denen eine Softwareanwendung besteht. Walt Szablowski, Gründer und Executive Chairman von Eracent, das seit über zwei Jahrzehnten einen vollständigen Einblick in die Netzwerke seiner großen Unternehmenskunden bietet, stellt fest: „SBOMs sind bedeutungslos, es sei denn, sie sind Teil einer umfassenderen Strategie, die Risiken und Schwachstellen im gesamten Software-Supply-Chain-Management-System identifiziert.“

Die National Telecommunications and Information Administration (NTIA) definiert eine Software Bill of Materials als „eine vollständige, formal strukturierte Liste von Komponenten, Bibliotheken und Modulen, die erforderlich sind, um ein bestimmtes Stück Software und die Lieferkettenbeziehungen zwischen ihnen zu erstellen.“ ( 4) Die USA sind besonders anfällig für Cyberangriffe, da ein Großteil ihrer Infrastruktur von Privatunternehmen kontrolliert wird, die möglicherweise nicht über das erforderliche Sicherheitsniveau verfügen, um einen Angriff zu vereiteln.(5) Der Hauptvorteil von SBOMs besteht darin, dass sie es Organisationen ermöglichen, sich zu identifizieren ob eine der Komponenten, aus denen eine Softwareanwendung besteht, möglicherweise eine Schwachstelle aufweist, die ein Sicherheitsrisiko darstellen kann.

Während US-Regierungsbehörden mit der Einführung von SBOMs beauftragt werden, würden kommerzielle Unternehmen eindeutig von diesem zusätzlichen Sicherheitsniveau profitieren. Ab 2022 belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung in den USA auf 9.44 Millionen US-Dollar, mit einem weltweiten Durchschnitt von 4.35 Millionen US-Dollar.(6) Laut einem Bericht des Government Accountability Office (GAO) betreibt die Bundesregierung drei veraltete Technologiesysteme fünf Jahrzehnte. Das GAO warnte davor, dass diese veralteten Systeme Sicherheitslücken vergrößern und häufig auf Hardware und Software laufen, die nicht mehr unterstützt wird.(7)

Szablowski erklärt: „Es gibt zwei Hauptaspekte, die jedes Unternehmen bei der Verwendung von SBOMs berücksichtigen muss. Erstens müssen sie über ein Tool verfügen, das alle Details in einer SBOM schnell lesen, die Ergebnisse mit bekannten Schwachstellendaten abgleichen und Heads-up-Berichte bereitstellen kann. Zweitens müssen sie in der Lage sein, einen automatisierten, proaktiven Prozess einzurichten, um den Überblick über SBOM-bezogene Aktivitäten und alle einzigartigen Minderungsoptionen und -prozesse für jede Komponente oder Softwareanwendung zu behalten.“

Eracents hochmodernes Intelligent Cybersecurity Platform (ICSP)™ Cyber ​​Supply Chain Risk Management™ (C-SCRM)-Modul ist insofern einzigartig, als es diese beiden Aspekte unterstützt, um ein zusätzliches, kritisches Schutzniveau bereitzustellen, um softwarebasierte Sicherheitsrisiken zu minimieren. Dies ist wichtig, wenn Sie ein proaktives, automatisiertes SBOM-Programm einleiten. Das ICSP C-SCRM bietet umfassenden Schutz mit sofortiger Sichtbarkeit, um alle Schwachstellen auf Komponentenebene zu mindern. Es erkennt veraltete Komponenten, die auch das Sicherheitsrisiko erhöhen können. Der Prozess liest automatisch die aufgeschlüsselten Details in der SBOM und gleicht jede aufgelistete Komponente mit den aktuellsten Schwachstellendaten ab, wobei die IT-Produktdatenbibliothek IT-Pedia® von Eracent verwendet wird – eine einzige, maßgebliche Quelle für wichtige Daten zu Millionen von IT-Hardware und Softwareprodukte.“

Die überwiegende Mehrheit der kommerziellen und benutzerdefinierten Anwendungen enthält Open-Source-Code. Standard-Tools zur Schwachstellenanalyse untersuchen einzelne Open-Source-Komponenten in Anwendungen nicht. Jede dieser Komponenten kann jedoch Schwachstellen oder veraltete Komponenten enthalten, was die Anfälligkeit der Software für Cybersicherheitsverletzungen erhöht. Szablowski bemerkt: „Mit den meisten Tools können Sie SBOMs erstellen oder analysieren, aber sie verfolgen keinen konsolidierten, proaktiven Managementansatz – Struktur, Automatisierung und Berichterstellung. Unternehmen müssen die Risiken verstehen, die in der von ihnen verwendeten Software bestehen können, ob Open Source oder proprietär. Und Softwareherausgeber müssen die potenziellen Risiken verstehen, die den von ihnen angebotenen Produkten innewohnen. Unternehmen müssen ihre Cybersicherheit mit dem verbesserten Schutzniveau stärken, das das ICSP C-SCRM-System von Eracent bietet.“

Über Eracent

Walt Szablowski ist Gründer und Executive Chairman von Eracent und Vorsitzender der Tochtergesellschaften von Eracent (Eracent SP ZOO, Warschau, Polen; Eracent Private LTD in Bangalore, Indien; und Eracent Brasilien). Eracent hilft seinen Kunden, die Herausforderungen der Verwaltung von IT-Netzwerkressourcen, Softwarelizenzen und Cybersicherheit in den heutigen komplexen und sich entwickelnden IT-Umgebungen zu meistern. Die Unternehmenskunden von Eracent sparen erheblich bei ihren jährlichen Softwareausgaben, reduzieren ihre Audit- und Sicherheitsrisiken und etablieren effizientere Asset-Management-Prozesse. Zum Kundenstamm von Eracent gehören einige der weltweit größten Unternehmens- und Regierungsnetzwerke und IT-Umgebungen – der USPS, VISA, die US Airforce, das britische Verteidigungsministerium – und Dutzende von Fortune-500-Unternehmen verlassen sich auf Eracent-Lösungen, um ihre Netzwerke zu verwalten und zu schützen. Besuchen https://eracent.com/. 

References:
1) Venkat, A. (2023, 4. Januar). Cyberangriffe auf Regierungen sind in der letzten Hälfte des Jahres 95 um 2022 % gestiegen, sagt Cloudsek. CSO-Online. Abgerufen am 23. Februar 2023 von csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek say.html#:~:text=The%20number%20of %20Angriffe%20Targeting,KI%2D-basiert%20Cybersicherheit%20Unternehmen%20CloudSek
2) Fleck, A., Richter, F. (2022, 2. Dezember). Infografik: Die Cyberkriminalität wird in den kommenden Jahren voraussichtlich sprunghaft ansteigen. Statista-Infografiken. Abgerufen am 23. Februar 2023 von statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=According%20to%20estimates%20from%20Statista'sto%20%2423.84%20trillion %20by%202027
3) Executive Order zur Verbesserung der Cybersicherheit des Landes. Agentur für Cybersicherheit und Infrastruktursicherheit CISA. (nd). Abgerufen am 23. Februar 2023 von cisa.gov/executive-order-improving-nations-cybersecurity
4) Die Linux-Stiftung. (2022, 13. September). Was ist eine SBOM? Linux-Stiftung. Abgerufen am 23. Februar 2023 von linuxfoundation.org/blog/blog/what-is-an-sbom
5) Christofaro, B. (oJ). Cyberangriffe sind die neueste Kriegsfront und können härter treffen als eine Naturkatastrophe. Deshalb könnten die USA Schwierigkeiten haben, damit fertig zu werden, wenn sie getroffen würden. Geschäftseingeweihter. Abgerufen am 23. Februar 2023 von businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) Veröffentlicht von Ani Petrosyan, 4, S. (2022, 4. September). Kosten einer Datenschutzverletzung in den USA 2022. Statista. Abgerufen am 23. Februar 2023 von statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/
7) Malone, K. (2021, 30. April). Die Bundesregierung betreibt 50 Jahre alte Technologie – ohne geplante Updates. CIO-Tauchgang. Abgerufen am 23. Februar 2023 von ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/

Artikel auf Social Media oder E-Mail teilen: