Hallituksen ohjelmistomateriaaliasiakirja (SBOM) on osa...

Julkaissut Platon

seuraajia: 0

SBOM:t ovat merkityksettömiä, elleivät ne ole osa suurempaa strategiaa, joka tunnistaa riskit ja haavoittuvuudet koko ohjelmiston toimitusketjun hallintajärjestelmässä.

RIEGELSVILLE, Pa. (PRWEB) Maaliskuussa 13, 2023

Hallituksen sektoreita vastaan maailmanlaajuisesti tehtyjen kyberhyökkäysten määrä kasvoi 95 % vuoden 2022 toisella puoliskolla verrattuna vuoden 2021 vastaavaan ajanjaksoon.(1) Kyberhyökkäysten maailmanlaajuisten kustannusten odotetaan kasvavan eksponentiaalisesti 8.44 biljoonasta dollarista vuonna 2022 23.84 biljoonaan dollariin 2027.(2) Tukeakseen maan kriittistä infrastruktuuria ja liittohallituksen verkkoja Valkoinen talo antoi toimeenpanomääräyksen 14028 "Kansakunnan kyberturvallisuuden parantaminen" toukokuussa 2021.(3) EO määrittelee turvallisuustoimenpiteet, joita kaikkien ohjelmistojen on noudatettava. julkaisija tai kehittäjä, joka harjoittaa liiketoimintaa liittovaltion kanssa. Yksi näistä toimenpiteistä edellyttää, että kaikki ohjelmistokehittäjät toimittavat Software Bill of Materials (SBOM), täydellisen luettelon komponenteista ja kirjastoista, jotka sisältävät ohjelmistosovelluksen. Walt Szablowski, perustaja ja hallituksen puheenjohtaja Eracent, joka on tarjonnut täydellisen näkyvyyden suuryritysasiakkaiden verkostoihin yli kahden vuosikymmenen ajan, huomauttaa: "SBOM:t ovat merkityksettömiä, elleivät ne ole osa suurempaa strategiaa, joka tunnistaa ohjelmiston toimitusketjun hallintajärjestelmän riskit ja haavoittuvuudet."

National Telecommunications and Information Administration (NTIA) määrittelee Software Bill of Materials -luettelon "täydelliseksi, muodollisesti jäsennellyksi luetteloksi komponenteista, kirjastoista ja moduuleista, joita tarvitaan tietyn ohjelmiston rakentamiseen ja niiden välisiin toimitusketjusuhteisiin". 4) Yhdysvallat on erityisen haavoittuvainen kyberhyökkäyksille, koska suurta osaa sen infrastruktuurista hallitsevat yksityiset yritykset, joilla ei välttämättä ole hyökkäyksen estämiseen tarvittavaa turvatasoa.(5) SBOM:ien tärkein etu on, että ne mahdollistavat organisaatioiden tunnistamisen. voiko ohjelmistosovelluksen muodostavissa komponenteissa olla haavoittuvuutta, joka voi aiheuttaa tietoturvariskin.

Vaikka Yhdysvaltain valtion virastot saavat valtuudet ottaa käyttöön SBOM:ita, kaupalliset yritykset hyötyisivät selvästi tästä ylimääräisestä turvatasosta. Vuodesta 2022 lähtien tietomurron keskimääräiset kustannukset Yhdysvalloissa ovat 9.44 miljoonaa dollaria ja maailmanlaajuisesti 4.35 miljoonaa dollaria.(6) Hallituksen tilivelvollisuusviraston (GAO) raportin mukaan liittovaltion hallituksella on kolme vanhaa teknologiajärjestelmää. viisi vuosikymmentä. GAO varoitti, että nämä vanhentuneet järjestelmät lisäävät tietoturva-aukkoja ja toimivat usein laitteistoilla ja ohjelmistoilla, joita ei enää tueta.(7)

Szablowski selittää: "On kaksi keskeistä näkökohtaa, jotka jokaisen organisaation on otettava huomioon käytettäessä SBOM:ia. Ensinnäkin heillä on oltava työkalu, joka voi nopeasti lukea kaikki SBOM:n tiedot, sovittaa tulokset tunnettuihin haavoittuvuustietoihin ja tarjota varoitusraportteja. Toiseksi heidän on kyettävä luomaan automatisoitu, ennakoiva prosessi pysyäkseen SBOM:iin liittyvän toiminnan ja kaikkien ainutlaatuisten lievennysvaihtoehtojen ja prosessien ajan tasalla jokaiselle komponentille tai ohjelmistosovellukselle.

Eracentin huippuluokan Intelligent Cybersecurity Platform (ICSP)™ Cyber Supply Chain Risk Management™ (C-SCRM) -moduuli on ainutlaatuinen siinä mielessä, että se tukee molempia näistä näkökohdista tarjotakseen ylimääräisen, kriittisen suojan tason ohjelmistopohjaisten tietoturvariskien minimoimiseksi. Tämä on välttämätöntä käynnistettäessä ennakoivaa, automatisoitua SBOM-ohjelmaa. ICSP C-SCRM tarjoaa kattavan suojan ja välittömän näkyvyyden vähentämään komponenttitason haavoittuvuuksia. Se tunnistaa vanhentuneet komponentit, jotka voivat myös lisätä tietoturvariskiä. Prosessi lukee automaattisesti SBOM:n eritellyt tiedot ja sovittaa jokaisen listatun osan viimeisimpiin haavoittuvuustietoihin Eracentin IT-Pedia® IT Product Data Libraryn avulla – yksittäinen, arvovaltainen lähde tärkeille tiedoille, jotka koskevat miljoonia IT-laitteita ja -laitteita. ohjelmistotuotteita."

Suurin osa kaupallisista ja mukautetuista sovelluksista sisältää avoimen lähdekoodin. Tavalliset haavoittuvuusanalyysityökalut eivät tarkasta yksittäisiä avoimen lähdekoodin komponentteja sovelluksissa. Mikä tahansa näistä osista voi kuitenkin sisältää haavoittuvuuksia tai vanhentuneita osia, mikä lisää ohjelmistojen alttiutta kyberturvallisuusrikkomuksille. Szablowski huomauttaa: "Useimpien työkalujen avulla voit luoda tai analysoida SBOM-tiedostoja, mutta ne eivät käytä konsolidoitua, ennakoivaa hallintatapaa – rakennetta, automaatiota ja raportointia. Yritysten on ymmärrettävä käyttämiensä ohjelmistojen riskit, olivatpa ne sitten avoimen lähdekoodin tai omaisuutta. Ja ohjelmistojulkaisijoiden on ymmärrettävä tarjoamiinsa tuotteisiin liittyvät mahdolliset riskit. Organisaatioiden on vahvistettava kyberturvallisuuttaan Eracentin ICSP C-SCRM -järjestelmän tarjoamalla parannetulla suojaustasolla.

Tietoja Eracentista

Walt Szablowski on Eracentin perustaja ja pääjohtaja ja toimii puheenjohtajana Eracentin tytäryhtiöissä (Eracent SP ZOO, Varsova, Puola; Eracent Private LTD Bangaloressa, Intia; ja Eracent Brasilia). Eracent auttaa asiakkaitaan vastaamaan IT-verkkoresurssien, ohjelmistolisenssien ja kyberturvallisuuden hallinnan haasteisiin nykypäivän monimutkaisissa ja kehittyvissä IT-ympäristöissä. Eracentin yritysasiakkaat säästävät merkittävästi vuosittaisissa ohjelmistokuluissaan, vähentävät auditointi- ja tietoturvariskejä ja luovat tehokkaampia omaisuudenhallintaprosesseja. Eracentin asiakaskuntaan kuuluu joitakin maailman suurimmista yritys- ja hallintoverkoista ja IT-ympäristöistä – USPS, VISA, US Airforce, Britannian puolustusministeriö – ja kymmenet Fortune 500 -yritykset luottavat Eracent-ratkaisuihin verkkojensa hallinnassa ja suojaamisessa. Vierailla https://eracent.com/. 

Viitteet:
1) Venkat, A. (2023, 4. tammikuuta). Kyberhyökkäykset hallituksia vastaan nousivat 95 prosenttia vuoden 2022 viimeisellä puoliskolla, Cloudsek sanoo. CSO verkossa. Haettu 23. helmikuuta 2023 osoitteesta csoonline.com/article/3684668/cyberrattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek saka.html#:~:text=The%20number%20of %20hyökkäystä%20kohdistus,AI%2D-pohjainen%20kyberturvallisuus%20yritys%20CloudSek
2) Fleck, A., Richter, F. (2022, 2. joulukuuta). Infografiikka: Kyberrikollisuuden odotetaan kasvavan pilviin tulevina vuosina. Statista Infographs. Haettu 23. helmikuuta 2023 osoitteesta statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=%20to%20estimates%20from%20Statista's,to%20%2423.84trill. %20%20
3) Toimeenpanomääräys maan kyberturvallisuuden parantamisesta. Kyberturvallisuuden ja infrastruktuurin turvallisuusvirasto CISA. (nd). Haettu 23. helmikuuta 2023 osoitteesta cisa.gov/executive-order-improving-nations-cybersecurity
4) Linux Foundation. (2022, 13. syyskuuta). Mikä on SBOM? Linux Foundation. Haettu 23. helmikuuta 2023 osoitteesta linuxfoundation.org/blog/blog/what-is-an-sbom
5) Christofaro, B. (nd). Kyberhyökkäykset ovat sodan uusin raja ja voivat iskeä voimakkaammin kuin luonnonkatastrofi. Tästä syystä USA voi kamppailla selviytyäkseen, jos se joutuisi osumaan. Business Insider. Haettu 23. helmikuuta 2023 osoitteesta businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) Julkaisija Ani Petrosyan, 4, S. (2022, 4. syyskuuta). Tietomurron kustannukset Yhdysvalloissa 2022. Statista. Haettu 23. helmikuuta 2023 osoitteesta statista.com/statistics/273575/us-average-cost-incurred-a-data-breach/
7) Malone, K. (2021, 30. huhtikuuta). Liittovaltion hallitus käyttää 50 vuotta vanhaa tekniikkaa – ilman päivityksiä. CIO Dive. Haettu 23. helmikuuta 2023 osoitteesta ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/

Jaa artikkeli sosiaalisesta mediasta tai sähköpostista: