Τα SBOM δεν έχουν νόημα, εκτός εάν αποτελούν μέρος μιας ευρύτερης στρατηγικής που εντοπίζει κινδύνους και τρωτά σημεία στο σύστημα διαχείρισης της εφοδιαστικής αλυσίδας λογισμικού.
RIEGELSVILLE, Pa. (PRWEB) Μαρτίου 13, 2023
Ο αριθμός των κυβερνοεπιθέσεων που πραγματοποιήθηκαν κατά κυβερνητικών τομέων παγκοσμίως αυξήθηκε κατά 95% το δεύτερο εξάμηνο του 2022 σε σύγκριση με την ίδια χρονική περίοδο το 2021.(1) Το παγκόσμιο κόστος των κυβερνοεπιθέσεων αναμένεται να αυξηθεί εκθετικά από 8.44 τρισεκατομμύρια δολάρια το 2022 σε 23.84 τρισεκατομμύρια δολάρια 2027.(2) Για να υποστηρίξει τις κρίσιμες υποδομές της χώρας και τα δίκτυα της Ομοσπονδιακής Κυβέρνησης, ο Λευκός Οίκος εξέδωσε το Εκτελεστικό Διάταγμα 14028, «Βελτίωση της Κυβερνοασφάλειας του Έθνους» τον Μάιο του 2021. (3) Ο ΕΟ ορίζει τα μέτρα ασφαλείας που πρέπει να ακολουθούνται από οποιοδήποτε λογισμικό εκδότη ή προγραμματιστή που συναλλάσσεται με την ομοσπονδιακή κυβέρνηση. Ένα από αυτά τα μέτρα απαιτεί από όλους τους προγραμματιστές λογισμικού να παρέχουν ένα Software Bill of Materials (SBOM), μια πλήρη λίστα απογραφής στοιχείων και βιβλιοθηκών που περιλαμβάνουν μια εφαρμογή λογισμικού. Walt Szablowski, Ιδρυτής και Εκτελεστικός Πρόεδρος της Eracent, η οποία παρέχει πλήρη ορατότητα στα δίκτυα πελατών μεγάλων επιχειρήσεων για περισσότερες από δύο δεκαετίες, παρατηρεί, «Τα SBOM δεν έχουν νόημα, εκτός εάν αποτελούν μέρος μιας ευρύτερης στρατηγικής που εντοπίζει κινδύνους και τρωτά σημεία στο σύστημα διαχείρισης της εφοδιαστικής αλυσίδας λογισμικού».
Η Εθνική Διοίκηση Τηλεπικοινωνιών και Πληροφοριών (NTIA) ορίζει το Λογισμικό Bill of Materials ως «μια πλήρη, επίσημα δομημένη λίστα στοιχείων, βιβλιοθηκών και ενοτήτων που απαιτούνται για τη δημιουργία ενός δεδομένου τμήματος λογισμικού και τις σχέσεις μεταξύ τους στην αλυσίδα εφοδιασμού». 4) Οι ΗΠΑ είναι ιδιαίτερα ευάλωτες σε κυβερνοεπιθέσεις επειδή μεγάλο μέρος της υποδομής τους ελέγχεται από ιδιωτικές εταιρείες που μπορεί να μην είναι εξοπλισμένες με το επίπεδο ασφάλειας που απαιτείται για να αποτρέψουν μια επίθεση.(5) Το βασικό όφελος των SBOM είναι ότι επιτρέπουν στους οργανισμούς να αναγνωρίζουν εάν κάποιο από τα στοιχεία που συνθέτουν μια εφαρμογή λογισμικού μπορεί να έχει μια ευπάθεια που μπορεί να δημιουργήσει κίνδυνο ασφάλειας.
Ενώ οι κυβερνητικές υπηρεσίες των ΗΠΑ θα έχουν εντολή να υιοθετούν SBOM, οι εμπορικές εταιρείες θα επωφεληθούν σαφώς από αυτό το επιπλέον επίπεδο ασφάλειας. Από το 2022, το μέσο κόστος μιας παραβίασης δεδομένων στις ΗΠΑ είναι 9.44 εκατομμύρια δολάρια, με παγκόσμιο μέσο όρο 4.35 εκατομμύρια δολάρια.(6) Σύμφωνα με μια έκθεση του Κυβερνητικού Γραφείου Λογοδοσίας (GAO), η Ομοσπονδιακή Κυβέρνηση διαθέτει τρία παλαιού τύπου τεχνολογικά συστήματα που χρονολογούνται από παλιά πέντε δεκαετίες. Ο GAO προειδοποίησε ότι αυτά τα ξεπερασμένα συστήματα αυξάνουν τα τρωτά σημεία ασφαλείας και εκτελούνται συχνά σε υλικό και λογισμικό που δεν υποστηρίζεται πλέον.(7)
Ο Szablowski εξηγεί, «Υπάρχουν δύο βασικές πτυχές που κάθε οργανισμός θα πρέπει να αντιμετωπίσει όταν χρησιμοποιεί SBOM. Πρώτον, πρέπει να διαθέτουν ένα εργαλείο που να μπορεί να διαβάζει γρήγορα όλες τις λεπτομέρειες σε ένα SBOM, να αντιστοιχίζει τα αποτελέσματα με γνωστά δεδομένα ευπάθειας και να παρέχει προηγούμενες αναφορές. Δεύτερον, πρέπει να είναι σε θέση να καθιερώσουν μια αυτοματοποιημένη, προληπτική διαδικασία για να παραμείνουν στην κορυφή της δραστηριότητας που σχετίζεται με το SBOM και όλες τις μοναδικές επιλογές και διαδικασίες μετριασμού για κάθε στοιχείο ή εφαρμογή λογισμικού».
Η μονάδα αιχμής της Eracent Intelligent Cybersecurity Platform (ICSP)™ Cyber Supply Chain Risk Management™ (C-SCRM) είναι μοναδικό στο ότι υποστηρίζει και τις δύο αυτές πτυχές για να παρέχει ένα πρόσθετο, κρίσιμο επίπεδο προστασίας για την ελαχιστοποίηση των κινδύνων ασφαλείας που βασίζονται σε λογισμικό. Αυτό είναι απαραίτητο όταν ξεκινάτε ένα προληπτικό, αυτοματοποιημένο πρόγραμμα SBOM. Το ICSP C-SCRM προσφέρει ολοκληρωμένη προστασία με άμεση ορατότητα για τον μετριασμό τυχόν ευπάθειας σε επίπεδο εξαρτημάτων. Αναγνωρίζει απαρχαιωμένα στοιχεία που μπορούν επίσης να αυξήσουν τον κίνδυνο ασφάλειας. Η διαδικασία διαβάζει αυτόματα τις αναλυτικές λεπτομέρειες εντός του SBOM και αντιστοιχίζει κάθε συστατικό στοιχείο που παρατίθεται με τα πιο ενημερωμένα δεδομένα ευπάθειας χρησιμοποιώντας τη Βιβλιοθήκη Δεδομένων Προϊόντων IT της Eracent - μια ενιαία, έγκυρη πηγή για βασικά δεδομένα που αφορούν εκατομμύρια υλικό πληροφορικής και προϊόντα λογισμικού."
Η συντριπτική πλειοψηφία των εμπορικών και προσαρμοσμένων εφαρμογών περιέχουν κώδικα ανοιχτού κώδικα. Τα τυπικά εργαλεία ανάλυσης ευπάθειας δεν εξετάζουν μεμονωμένα στοιχεία ανοιχτού κώδικα εντός των εφαρμογών. Ωστόσο, οποιοδήποτε από αυτά τα στοιχεία μπορεί να περιέχει τρωτά σημεία ή παρωχημένα στοιχεία, αυξάνοντας την ευαισθησία του λογισμικού σε παραβιάσεις της ασφάλειας στον κυβερνοχώρο. Ο Szablowski σημειώνει, «Τα περισσότερα εργαλεία σάς επιτρέπουν να δημιουργείτε ή να αναλύετε SBOM, αλλά δεν ακολουθούν μια ενοποιημένη, προληπτική προσέγγιση διαχείρισης — δομή, αυτοματοποίηση και αναφορά. Οι εταιρείες πρέπει να κατανοήσουν τους κινδύνους που μπορεί να υπάρχουν στο λογισμικό που χρησιμοποιούν, είτε είναι ανοιχτού κώδικα είτε ιδιόκτητο. Και οι εκδότες λογισμικού πρέπει να κατανοήσουν τους πιθανούς κινδύνους που ενυπάρχουν στα προϊόντα που προσφέρουν. Οι οργανισμοί πρέπει να ενισχύσουν την κυβερνοασφάλειά τους με το βελτιωμένο επίπεδο προστασίας που προσφέρει το σύστημα ICSP C-SCRM της Eracent».
Σχετικά με το Eracent
Ο Walt Szablowski είναι ο ιδρυτής και εκτελεστικός πρόεδρος της Eracent και υπηρετεί ως Πρόεδρος των θυγατρικών της Eracent (Eracent SP ZOO, Βαρσοβία, Πολωνία, Eracent Private LTD στη Μπανγκαλόρ της Ινδίας και Eracent Brazil). Η Eracent βοηθά τους πελάτες της να ανταποκριθούν στις προκλήσεις της διαχείρισης περιουσιακών στοιχείων δικτύου πληροφορικής, αδειών λογισμικού και ασφάλειας στον κυβερνοχώρο στα σημερινά πολύπλοκα και εξελισσόμενα περιβάλλοντα πληροφορικής. Οι εταιρικοί πελάτες της Eracent εξοικονομούν σημαντικά τις ετήσιες δαπάνες λογισμικού τους, μειώνουν τους κινδύνους ελέγχου και ασφάλειας και καθιερώνουν πιο αποτελεσματικές διαδικασίες διαχείρισης περιουσιακών στοιχείων. Η βάση πελατών της Eracent περιλαμβάνει μερικά από τα μεγαλύτερα εταιρικά και κυβερνητικά δίκτυα και περιβάλλοντα πληροφορικής στον κόσμο - USPS, VISA, US Airforce, Βρετανικό Υπουργείο Άμυνας - και δεκάδες εταιρείες του Fortune 500 βασίζονται σε λύσεις Eracent για τη διαχείριση και την προστασία των δικτύων τους. Επίσκεψη https://eracent.com/.
αναφορές:
1) Venkat, A. (2023, 4 Ιανουαρίου). Οι κυβερνοεπιθέσεις κατά των κυβερνήσεων αυξήθηκαν κατά 95% το τελευταίο εξάμηνο του 2022, λέει ο Cloudsek. CSO Online. Ανακτήθηκε στις 23 Φεβρουαρίου 2023, από csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek say.html#:~:text=The%20number%20of %20attacks%20targeting,AI%2Dbased%20cybersecurity%20company%20CloudSek
2) Fleck, A., Richter, F. (2022, 2 Δεκεμβρίου). Infographic: Το κυβερνοέγκλημα αναμένεται να εκτιναχθεί στα ύψη τα επόμενα χρόνια. Statista Infographics. Ανακτήθηκε στις 23 Φεβρουαρίου 2023, από statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=According%20to%20estimates%20from%20Statista's,to%20trillion%2423.84 %20 κατά%20
3) Εκτελεστικό διάταγμα για τη βελτίωση της κυβερνοασφάλειας του έθνους. Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών CISA. (ν). Ανακτήθηκε στις 23 Φεβρουαρίου 2023, από το cisa.gov/executive-order-improving-nations-cybersecurity
4) Το Ίδρυμα Linux. (2022, 13 Σεπτεμβρίου). Τι είναι το SBOM; Ίδρυμα Linux. Ανακτήθηκε στις 23 Φεβρουαρίου 2023, από linuxfoundation.org/blog/blog/what-is-an-sbom
5) Χριστόφαρο, Β. (η). Οι κυβερνοεπιθέσεις είναι τα νεότερα σύνορα του πολέμου και μπορούν να χτυπήσουν σκληρότερα από μια φυσική καταστροφή. Να γιατί οι ΗΠΑ θα μπορούσαν να δυσκολευτούν να αντεπεξέλθουν αν χτυπηθούν. Business Insider. Ανακτήθηκε στις 23 Φεβρουαρίου 2023, από businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) Έκδοση Ani Petrosyan, 4, S. (2022, 4 Σεπτεμβρίου). Κόστος παραβίασης δεδομένων στις ΗΠΑ 2022. Statista. Ανακτήθηκε στις 23 Φεβρουαρίου 2023, από statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/
7) Malone, K. (2021, 30 Απριλίου). Η ομοσπονδιακή κυβέρνηση χρησιμοποιεί τεχνολογία 50 ετών – χωρίς προγραμματισμένες ενημερώσεις. CIO Dive. Ανακτήθηκε στις 23 Φεβρουαρίου 2023, από ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/
Μοιραστείτε το άρθρο σε κοινωνικά μέσα ή ηλεκτρονικό ταχυδρομείο:
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://www.prweb.com/releases/the_governments_software_bill_of_materials_sbom_mandate_is_part_of_a_bigger_cybersecurity_picture/prweb19219949.htm
- :είναι
- $UP
- 1
- 2021
- 2022
- 2023
- 7
- 84
- 95%
- a
- Ικανός
- Σύμφωνα με
- ευθύνη
- απέναντι
- δραστηριότητα
- Πρόσθετος
- διεύθυνση
- διαχείριση
- ενστερνίζομαι
- κατά
- υπηρεσίες
- πρακτορείο
- Όλα
- ανάλυση
- αναλύσει
- και
- και την υποδομή
- ετήσιος
- Εφαρμογή
- εφαρμογές
- πλησιάζω
- Απρίλιος
- ΕΙΝΑΙ
- άρθρο
- AS
- πτυχές
- προσόν
- διαχείριση περιουσιακών στοιχείων
- Ενεργητικό
- επίθεση
- έλεγχος
- Αυτοματοποιημένη
- αυτομάτως
- Αυτοματοποίηση
- μέσος
- πίσω
- βάση
- BE
- επειδή
- όφελος
- μεταξύ
- Νομοσχέδιο
- Βραζιλία
- παραβίαση
- παραβιάσεις
- Βρετανοί
- χτίζω
- επιχείρηση
- by
- CAN
- αλυσίδα
- Καρέκλα
- πρόεδρος
- προκλήσεις
- CIO
- σαφώς
- πελάτης
- πελάτες
- κωδικός
- ερχομός
- εμπορικός
- Εταιρείες
- σύγκριση
- πλήρης
- συγκρότημα
- συστατικό
- εξαρτήματα
- περιεκτικός
- περιέχουν
- ελέγχεται
- Εταιρικές εκδηλώσεις
- Κόστος
- θα μπορούσε να
- δημιουργία
- κρίσιμης
- Υποδομές κρίσιμης σημασίας
- έθιμο
- Πελάτες
- αιχμής
- στον κυβερνοχώρο
- cyberattacks
- εγκλήματος στον κυβερνοχώρο
- Κυβερνασφάλεια
- ημερομηνία
- παραβιάσεων δεδομένων
- Ραντεβού
- δεκαετίες
- Δεκέμβριος
- Άμυνα
- Ορίζει
- παραδίδει
- καθέκαστα
- Εργολάβος
- προγραμματιστές
- καταστροφή
- δεκάδες
- κάθε
- αποτελεσματικός
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- ενεργοποιήσετε
- ενισχυμένη
- Εταιρεία
- περιβάλλοντα
- εξοπλισμένο
- ειδικά
- ουσιώδης
- εγκαθιδρύω
- Κάθε
- εξελίσσεται
- εκτελεστικός
- εκτελεστικό διάταγμα
- αναμένεται
- Εξηγεί
- εκθετικά
- επιπλέον
- Φεβρουάριος
- Ομοσπονδιακός
- Ομοσπονδιακή κυβέρνηση
- Όνομα
- ακολουθείται
- Για
- Επίσημα
- Τύχη
- Θεμέλιο
- ιδρυτής
- συχνά
- από
- Σύνορο
- GAO
- δεδομένου
- Παγκόσμιο
- Κυβέρνηση
- Κυβερνητική Υπηρεσία Λογονομίας
- Κυβερνητικό Γραφείο Ευθύνης (GAO)
- Κυβέρνηση
- Grow
- Ήμισυ
- υλικού
- Έχω
- βοηθά
- εδώ
- Επιτυχία
- Σπίτι
- Ωστόσο
- HTTPS
- αναγνωρίζει
- προσδιορίσει
- εικόνα
- βελτίωση
- in
- περιλαμβάνει
- Αυξάνουν
- αυξημένη
- αύξηση
- Ινδία
- ατομικές
- infographic
- πληροφορίες
- Υποδομή
- συμφυής
- Πρόσωπα
- στιγμή
- Έξυπνος
- απογραφή
- Εκδόθηκε
- IT
- ΤΟΥ
- Ιανουάριος
- Άρχισε
- Κλειδί
- γνωστός
- large
- μεγαλύτερος
- μεγαλύτερη
- Επίθετο
- Κληροδότημα
- Επίπεδο
- βιβλιοθήκες
- Βιβλιοθήκη
- άδειες
- linux
- linux foundation
- Λιστα
- Εισηγμένες
- πλέον
- Ltd
- Η πλειοψηφία
- κάνω
- διαχείριση
- διαχείριση
- διαχείριση
- Εντολή
- Ταίριασμα
- υλικά
- μέτρα
- Εικόνες / Βίντεο
- Γνωρίστε
- εκατομμύριο
- εκατομμύρια
- υπουργείο
- Μετριάζω
- μείωση
- ενότητες
- περισσότερο
- πιο αποτελεσματικό
- πλέον
- έθνος
- εθνικός
- Εθνών
- Φυσικό
- απαραίτητος
- Ανάγκη
- δίκτυο
- δίκτυα
- Νέα
- νέα
- Notes
- αριθμός
- Παρατηρεί
- απαρχαιωμένος
- of
- προσφορά
- προσφορές
- Office
- on
- ONE
- διαδικτυακά (online)
- ανοικτού κώδικα
- κώδικα ανοιχτού κώδικα
- Επιλογές
- τάξη
- επιχειρήσεις
- οργανώσεις
- μέρος
- περίοδος
- κομμάτι
- προγραμματίζονται
- πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Poland
- δυναμικού
- ιδιωτικός
- Ιδιωτικές εταιρείες
- Προληπτική
- διαδικασια μας
- Διεργασίες
- Προϊόν
- Προϊόντα
- Πρόγραμμα
- ιδιόκτητο
- προστασία
- προστασία
- παρέχουν
- παρέχεται
- δημοσιεύθηκε
- εκδότης
- Εκδότες
- γρήγορα
- Διάβασε
- αναγνωρίζει
- μείωση
- Σχέσεις
- αναφέρουν
- Αναφορά
- απαιτείται
- Απαιτεί
- Αποτελέσματα
- Ρίχτερ
- Κίνδυνος
- κινδύνους
- τρέξιμο
- τρέξιμο
- s
- ίδιο
- Αποθήκευση
- λέει
- Δεύτερος
- Τομείς
- ασφάλεια
- κινδύνους ασφάλειας
- Σεπτέμβριος
- εξυπηρετεί
- σημαντικά
- ενιαίας
- υψούμαι ταχέως
- Μ.Κ.Δ
- social media
- λογισμικό
- Προγραμματιστές λογισμικού
- Λύσεις
- μερικοί
- Πηγή
- δαπανήσει
- πρότυπο
- παραμονή
- Στρατηγική
- απεργία
- δομή
- δομημένος
- Πάλη
- προμήθεια
- αλυσίδας εφοδιασμού
- διαχείριση της εφοδιαστικής αλυσίδας
- υποστήριξη
- υποστηριζόνται!
- Υποστηρίζει
- σύστημα
- συστήματα
- λήψη
- Τεχνολογία
- τηλεπικοινωνιών
- ότι
- Η
- τους
- Τους
- Αυτοί
- τρία
- ώρα
- προς την
- σημερινή
- εργαλείο
- εργαλεία
- κορυφή
- Τρισεκατομμύριο
- μας
- Κυβέρνηση των ΗΠΑ
- καταλαβαίνω
- μοναδικός
- up-to-ημερομηνία
- ενημερώσεις
- us
- χρήση
- Σταθερή
- Visa
- ορατότητα
- Επίσκεψη
- Θέματα ευπάθειας
- ευπάθεια
- Ευάλωτες
- πόλεμος
- Βαρσοβία
- Τι
- Τι είναι
- αν
- Ποιό
- άσπρο
- Λευκός Οίκος
- Ο ΟΠΟΊΟΣ
- θα
- με
- εντός
- του κόσμου
- παγκόσμιος
- θα
- χρόνια
- Εσείς
- zephyrnet
- ΖΩΟΛΟΓΙΚΟΣ ΚΗΠΟΣ