دستور لایحه مواد نرم افزاری دولت (SBOM) بخشی از...

دستور لایحه مواد نرم افزاری دولت (SBOM) بخشی از…

تمبر زمان: 12 مارس 2023، 8:00 بعد از ظهر
تصویر خبر

SBOM ها بی معنی هستند مگر اینکه بخشی از یک استراتژی بزرگتر باشند که خطرات و آسیب پذیری ها را در سراسر سیستم مدیریت زنجیره تامین نرم افزار شناسایی می کند.

ریگلز ویل، پا. (PRWEB) مارس 13، 2023

تعداد حملات سایبری انجام شده علیه بخش‌های دولتی در سراسر جهان در نیمه دوم سال 95 نسبت به مدت مشابه در سال 2022 2021 درصد افزایش یافته است. 1. (8.44) برای حمایت از زیرساخت‌های حیاتی کشور و شبکه‌های دولت فدرال، کاخ سفید فرمان اجرایی 2022، "بهبود امنیت سایبری کشور" را در می 23.84 صادر کرد. ناشر یا توسعه دهنده ای که با دولت فدرال تجارت می کند. یکی از این اقدامات، همه توسعه دهندگان نرم افزار را ملزم می کند تا یک فهرست مواد نرم افزاری (SBOM)، فهرست موجودی کاملی از اجزا و کتابخانه هایی که یک برنامه نرم افزاری را تشکیل می دهند، ارائه دهند. والت سابلوسکی، بنیانگذار و رئیس اجرایی Eacent، که برای بیش از دو دهه دید کاملی را در شبکه های مشتریان سازمانی بزرگ خود فراهم کرده است، اظهار می دارد: "SBOM ها بی معنی هستند مگر اینکه بخشی از یک استراتژی بزرگتر باشند که خطرات و آسیب پذیری ها را در سراسر سیستم مدیریت زنجیره تامین نرم افزار شناسایی می کند."

اداره ملی ارتباطات و اطلاعات (NTIA) یک لایحه مواد نرم افزاری را به عنوان "فهرست کامل و ساختار یافته رسمی از اجزاء، کتابخانه ها و ماژول هایی که برای ساختن یک نرم افزار معین و روابط زنجیره تامین بین آنها مورد نیاز است" تعریف می کند. 4) ایالات متحده به ویژه در برابر حملات سایبری آسیب پذیر است زیرا بسیاری از زیرساخت های آن توسط شرکت های خصوصی کنترل می شود که ممکن است به سطح امنیتی لازم برای خنثی کردن یک حمله مجهز نباشند. آیا هر یک از اجزای سازنده یک برنامه نرم افزاری ممکن است آسیب پذیری داشته باشد که می تواند خطر امنیتی ایجاد کند.

در حالی که سازمان های دولتی ایالات متحده موظف به پذیرش SBOM خواهند بود، شرکت های تجاری به وضوح از این سطح امنیتی اضافی بهره مند خواهند شد. از سال 2022، میانگین هزینه نقض داده در ایالات متحده 9.44 میلیون دلار و میانگین جهانی 4.35 میلیون دلار است. پنج دهه GAO هشدار داد که این سیستم های قدیمی آسیب پذیری های امنیتی را افزایش می دهند و اغلب بر روی سخت افزار و نرم افزاری اجرا می شوند که دیگر پشتیبانی نمی شود.(6)

Szablowski توضیح می دهد، "دو جنبه کلیدی وجود دارد که هر سازمانی باید در هنگام استفاده از SBOM به آنها توجه کند. اول، آنها باید ابزاری داشته باشند که بتواند به سرعت تمام جزئیات یک SBOM را بخواند، نتایج را با داده‌های آسیب‌پذیری شناخته شده تطبیق دهد و گزارش‌های سرپایی را ارائه دهد. دوم، آنها باید بتوانند یک فرآیند خودکار و فعال ایجاد کنند تا از فعالیت‌های مرتبط با SBOM و همه گزینه‌ها و فرآیندهای کاهش منحصربه‌فرد برای هر جزء یا نرم‌افزار استفاده کنند.»

ماژول مدیریت ریسک زنجیره تامین سایبری (C-SCRM) پلتفرم امنیت سایبری هوشمند (ICSP) Eracent از این جهت منحصر به فرد است که از هر دو جنبه پشتیبانی می کند تا سطح حفاظتی اضافی و حیاتی را برای به حداقل رساندن خطرات امنیتی مبتنی بر نرم افزار فراهم کند. این در هنگام شروع یک برنامه فعال و خودکار SBOM ضروری است. ICSP C-SCRM حفاظت جامع با دید فوری برای کاهش هر گونه آسیب پذیری در سطح مؤلفه ارائه می دهد. این مؤلفه های منسوخ شده را شناسایی می کند که می تواند خطر امنیتی را نیز افزایش دهد. این فرآیند به طور خودکار جزئیات جزئی را در SBOM می خواند و هر جزء فهرست شده را با به روزترین داده های آسیب پذیری با استفاده از کتابخانه داده محصولات IT-Pedia Eracent تطبیق می دهد - یک منبع معتبر و واحد برای داده های ضروری در مورد میلیون ها سخت افزار IT و محصولات نرم افزاری.”

اکثریت قریب به اتفاق برنامه های تجاری و سفارشی حاوی کد منبع باز هستند. ابزارهای استاندارد تجزیه و تحلیل آسیب پذیری، اجزای منبع باز منفرد را در برنامه ها بررسی نمی کنند. با این حال، هر یک از این مؤلفه‌ها ممکن است دارای آسیب‌پذیری‌ها یا مؤلفه‌های منسوخ شده باشد، که حساسیت نرم‌افزار را به نقض امنیت سایبری افزایش می‌دهد. Szablowski خاطرنشان می کند: "بیشتر ابزارها به شما امکان می دهند SBOM ها را ایجاد یا تجزیه و تحلیل کنید، اما آنها از یک رویکرد مدیریتی تلفیقی و پیشگیرانه - ساختار، اتوماسیون و گزارش گیری استفاده نمی کنند. شرکت‌ها باید خطراتی را که ممکن است در نرم‌افزاری که استفاده می‌کنند، چه منبع باز یا اختصاصی، وجود داشته باشد، درک کنند. و ناشران نرم افزار باید خطرات بالقوه ذاتی محصولاتی که ارائه می دهند را درک کنند. سازمان ها باید امنیت سایبری خود را با سطح پیشرفته حفاظتی که سیستم ICSP C-SCRM Eracent ارائه می دهد، تقویت کنند.

درباره Eracent

Walt Szablowski بنیانگذار و رئیس اجرایی Eracent است و به عنوان رئیس شرکت های تابعه Eracent (Eracent SP ZOO، ورشو، لهستان؛ Eracent Private LTD در بنگلور، هند و Eracent برزیل) فعالیت می کند. Eracent به مشتریان خود کمک می‌کند تا با چالش‌های مدیریت دارایی‌های شبکه فناوری اطلاعات، مجوزهای نرم‌افزار و امنیت سایبری در محیط‌های پیچیده و در حال تحول فناوری اطلاعات امروزی مقابله کنند. مشتریان سازمانی Eracent به طور قابل توجهی در هزینه های نرم افزاری سالانه خود صرفه جویی می کنند، خطرات حسابرسی و امنیتی خود را کاهش می دهند و فرآیندهای مدیریت دارایی کارآمدتری را ایجاد می کنند. پایگاه مشتریان Eracent شامل برخی از بزرگترین شبکه‌های شرکتی و دولتی و محیط‌های IT در جهان است - USPS، VISA، نیروی هوایی ایالات متحده، وزارت دفاع بریتانیا - و ده‌ها شرکت Fortune 500 برای مدیریت و محافظت از شبکه‌های خود به راه‌حل‌های Eracent متکی هستند. بازدید کنید https://eracent.com/. 

منابع:
1) Venkat، A. (2023، 4 ژانویه). کلودسک می گوید که حملات سایبری علیه دولت ها در نیمه آخر سال 95 2022 درصد افزایش یافته است. CSO آنلاین. بازیابی شده در 23 فوریه 2023، از csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek.html#:~:text=The%20number%20 of %20حمله%20هدفگیری، AI%2Dbased%20امنیت سایبری%20شرکت%20CloudSek
2) Fleck, A., Richter, F. (2022, 2 دسامبر). اینفوگرافیک: انتظار می رود جرایم سایبری در سال های آینده به شدت افزایش یابد. اینفوگرافیک Statista. بازیابی شده در 23 فوریه 2023، از statista.com/chart/28878/expected-cost-of-cybercrime-tin-2027/#:~:text=براساس%20to%20estimates%20from%20Statista's,to%20%2423.84 %20در%20
3) فرمان اجرایی ارتقای امنیت سایبری کشور. آژانس امنیت سایبری و امنیت زیرساخت CISA. (دوم). بازیابی شده در 23 فوریه 2023، از cisa.gov/executive-order-improving-nations-cybersecurity
4) بنیاد لینوکس. (2022، 13 سپتامبر). SBOM چیست؟ بنیاد لینوکس. بازیابی شده در 23 فوریه 2023، از linuxfoundation.org/blog/blog/what-is-an-sbom
5) کریستوفارو، ب (د). حملات سایبری جدیدترین مرز جنگ هستند و می توانند سخت تر از یک بلای طبیعی ضربه بزنند. در اینجا دلیلی است که ایالات متحده در صورت ضربه خوردن می تواند برای مقابله با آن تلاش کند. بیزینس اینسایدر. بازیابی شده در 23 فوریه 2023، از businessinsider.com/cyber-attack-us-straggle-taken-offline-power-grid-2019-4
6) منتشر شده توسط Ani Petrosyan, 4, S. (2022, 4 سپتامبر). هزینه نقض داده در ایالات متحده 2022. Statista. بازیابی شده در 23 فوریه 2023، از statista.com/statistics/273575/میانگین-هزینه-متحمل-شده-براثر-نقض-داده/
7) مالون، ک. (2021، 30 آوریل). دولت فدرال فناوری 50 ساله را اجرا می کند - بدون برنامه ریزی به روز رسانی. شیرجه CIO. بازیابی شده در 23 فوریه 2023، از ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/

مقاله در مورد رسانه های اجتماعی یا ایمیل به اشتراک بگذارید:

تمبر زمان:

بیشتر از امنیت رایانه