Valitsuse tarkvara materjalide eelnõu (SBOM) mandaat on osa ...

Valitsuse tarkvara materjalide eelnõu (SBOM) mandaat on osa…

Ajatempel: 12. märts 2023 kell 8
Uudiste pilt

SBOM-id on mõttetud, välja arvatud juhul, kui need on osa suuremast strateegiast, mis tuvastab riskid ja haavatavused kogu tarkvara tarneahela haldussüsteemis.

RIEGELSVILLE, Pa. (PRWEB) Märtsil 13, 2023

Valitsussektorite vastu korraldatud küberrünnakute arv kogu maailmas kasvas 95. aasta teisel poolel võrreldes 2022. aasta sama perioodiga 2021%.(1) Küberrünnakute ülemaailmsed kulud kasvavad eeldatavasti plahvatuslikult 8.44 triljonilt dollarilt 2022. aastal 23.84 triljoni dollarini. 2027.(2) Riigi kriitilise infrastruktuuri ja föderaalvalitsuse võrkude toetamiseks andis Valge Maja 14028. aasta mais välja korralduse nr 2021 „Riigi küberturvalisuse parandamine”.(3) EO määratleb turvameetmed, mida mis tahes tarkvara peab järgima. väljaandja või arendaja, kes teeb äri föderaalvalitsusega. Üks neist meetmetest nõuab, et kõik tarkvaraarendajad esitaksid tarkvaramaterjalide nimekirja (SBOM), mis on tarkvararakendust sisaldavate komponentide ja teekide täielik loetelu. Walt Szablowski, asutaja ja tegevjuht Eratsentne, mis on üle kahe aastakümne pakkunud täielikku nähtavust oma suurettevõtete klientide võrkudesse, märgib: "SBOM-id on mõttetud, välja arvatud juhul, kui need on osa suuremast strateegiast, mis tuvastab riskid ja haavatavused kogu tarkvara tarneahela haldussüsteemis."

Riiklik telekommunikatsiooni- ja teabeamet (NTIA) määratleb tarkvara materjalide koostamise kui "täieliku, formaalselt struktureeritud loendi komponentidest, raamatukogudest ja moodulitest, mis on vajalikud teatud tarkvara ja nendevaheliste tarneahela suhete loomiseks". 4) USA on küberrünnakute suhtes eriti haavatav, kuna suurt osa selle infrastruktuurist kontrollivad eraettevõtted, kes ei pruugi olla varustatud rünnaku tõkestamiseks vajaliku turvatasemega.(5) SBOM-ide peamine eelis on see, et need võimaldavad organisatsioonidel end tuvastada. kas mõnel tarkvararakenduse komponendil võib olla turvaauku, mis võib tekitada turvariski.

Kuigi USA valitsusasutustel lastakse SBOM-e kasutusele võtta, saavad äriettevõtted sellest täiendavast turvalisuse tasemest selgelt kasu. 2022. aasta seisuga on andmetega seotud rikkumise keskmine maksumus USA-s 9.44 miljonit dollarit, ülemaailmne keskmine 4.35 miljonit dollarit.(6) Valitsuse aruandlusameti (GAO) aruande kohaselt haldab föderaalvalitsus kolme vana tehnoloogiasüsteemi. viis aastakümmet. GAO hoiatas, et need aegunud süsteemid suurendavad turvaauke ning töötavad sageli riist- ja tarkvaral, mida enam ei toetata.(7)

Szablowski selgitab: "On kaks peamist aspekti, millega iga organisatsioon peab SBOM-ide kasutamisel tegelema. Esiteks peab neil olema tööriist, mis suudab kiiresti lugeda kõiki SBOM-i üksikasju, sobitada tulemused teadaolevate haavatavuse andmetega ja pakkuda hoiatusaruandeid. Teiseks peavad nad suutma luua automatiseeritud, ennetava protsessi, et olla kursis SBOM-iga seotud tegevusega ja kõigi ainulaadsete leevendusvõimaluste ja protsessidega iga komponendi või tarkvararakenduse jaoks.

Eracenti tipptasemel intelligentse küberturvalisuse platvormi (ICSP)™ kübertarneahela riskijuhtimise™ (C-SCRM) moodul on ainulaadne selle poolest, et toetab mõlemat aspekti, et pakkuda täiendavat kriitilist kaitsetaset, et minimeerida tarkvarapõhiseid turberiske. See on oluline ennetava automatiseeritud SBOM-programmi käivitamisel. ICSP C-SCRM pakub laiaulatuslikku kaitset kohese nähtavusega, et leevendada mis tahes komponenditasemel esinevaid haavatavusi. See tunneb ära vananenud komponendid, mis võivad samuti suurendada turvariski. Protsess loeb automaatselt SBOM-i üksikasjalikud üksikasjad ja sobitab iga loetletud komponendi kõige värskemate haavatavuse andmetega, kasutades Eracenti IT-Pedia® IT tooteandmekogu – ühtset autoriteetset allikat oluliste andmete jaoks, mis puudutavad miljoneid IT riistvara ja tarkvaratooted."

Valdav enamus kommerts- ja kohandatud rakendustest sisaldab avatud lähtekoodi. Tavalised haavatavuse analüüsi tööriistad ei kontrolli rakendustes üksikuid avatud lähtekoodiga komponente. Kuid ükski neist komponentidest võib sisaldada haavatavusi või vananenud komponente, mis suurendab tarkvara vastuvõtlikkust küberturvalisuse rikkumistele. Szablowski märgib: "Enamik tööriistu võimaldab teil luua või analüüsida SBOM-e, kuid need ei kasuta konsolideeritud ennetavat juhtimisviisi - struktuuri, automatiseerimist ja aruandlust. Ettevõtted peavad mõistma riske, mis võivad nende kasutatavas avatud lähtekoodiga või patenteeritud tarkvaras esineda. Ja tarkvara väljaandjad peavad mõistma nende pakutavate toodetega kaasnevaid võimalikke riske. Organisatsioonid peavad tugevdama oma küberturvalisust kõrgendatud kaitsetasemega, mida Eracenti ICSP C-SCRM-süsteem pakub.

Eracenti kohta

Walt Szablowski on Eracenti asutaja ja tegevjuht ning juhib Eracenti tütarettevõtteid (Eracent SP ZOO, Varssavi, Poola; Eracent Private LTD Bangalores, India; ja Eracent Brasiilia). Eracent aitab oma klientidel vastata väljakutsetele, mis on seotud IT-võrgu varade, tarkvaralitsentside ja küberturvalisuse haldamisega tänapäeva keerukates ja arenevates IT-keskkondades. Eracenti ärikliendid säästavad märkimisväärselt oma iga-aastaseid tarkvarakulusid, vähendavad auditi- ja turvariske ning loovad tõhusamad varahaldusprotsessid. Eracenti kliendibaas hõlmab mõningaid maailma suurimaid ettevõtete ja valitsusasutuste võrke ja IT-keskkondi – USPS, VISA, USA õhujõud, Briti kaitseministeerium – ning kümned Fortune 500 ettevõtted kasutavad oma võrkude haldamisel ja kaitsmisel Eracenti lahendusi. Külastage https://eracent.com/. 

viited:
1) Venkat, A. (2023, 4. jaanuar). Cloudsek ütleb, et valitsuste vastu suunatud küberrünnakud kasvasid 95. aasta viimasel poolel 2022%. CSO Online. Laaditi 23. veebruaril 2023 saidilt csoonline.com/article/3684668/cyberrattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek saka.html#:~:text=The%20number%20of %20rünnakud%20sihtimine,AI%2Dpõhine%20küberturvalisus%20firma%20CloudSek
2) Fleck, A., Richter, F. (2022, 2. detsember). Infograafik: küberkuritegevus peaks lähiaastatel hüppeliselt kasvama. Statistika infograafika. Laaditud 23. veebruaril 2023 saidilt statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=According%20to%20estimates%20from%20Statista's,to%20%2423.84trill. %20%20
3) Täitevkorraldus riigi küberjulgeoleku parandamiseks. Küberturvalisuse ja infrastruktuuri turvaagentuur CISA. (nd). Laaditi 23. veebruaril 2023 saidilt cisa.gov/executive-order-improving-nations-cybersecurity
4) Linuxi sihtasutus. (2022, 13. september). Mis on SBOM? Linuxi sihtasutus. Laaditi 23. veebruaril 2023 saidilt linuxfoundation.org/blog/blog/what-is-an-sbom
5) Christofaro, B. (nd). Küberrünnakud on sõja uusim piir ja võivad tabada tugevamini kui looduskatastroof. see on põhjus, miks USA võib löögi korral hakkama saada. Business Insider. Laaditi 23. veebruaril 2023 saidilt businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) Väljaandja Ani Petrosyan, 4, S. (2022, 4. september). Andmerikkumise maksumus USA-s 2022. Statista. Laaditi 23. veebruaril 2023 saidilt statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/
7) Malone, K. (2021, 30. aprill). Föderaalvalitsus kasutab 50 aastat vana tehnoloogiat – uuendusi ei plaanita. CIO Dive. Laaditi 23. veebruaril 2023 saidilt ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/

Jagage artiklit sotsiaalmeedia või e-posti aadressil:

Ajatempel:

Veel alates Arvuti turvalisus