Les SBOM n'ont de sens que s'ils font partie d'une stratégie plus large qui identifie les risques et les vulnérabilités à travers le système de gestion de la chaîne d'approvisionnement logicielle.
RIEGELSVILLE, Pennsylvanie (PRWEB) 13 mars 2023
Le nombre de cyberattaques menées contre les secteurs gouvernementaux dans le monde a augmenté de 95 % au cours du second semestre 2022 par rapport à la même période en 2021.(1) Le coût mondial des cyberattaques devrait augmenter de façon exponentielle, passant de 8.44 2022 milliards de dollars en 23.84 à 2027 2 milliards de dollars d'ici 14028.(2021) Pour soutenir l'infrastructure critique du pays et les réseaux du gouvernement fédéral, la Maison Blanche a publié le décret 3, "Améliorer la cybersécurité de la nation" en mai XNUMX.(XNUMX) L'EO définit les mesures de sécurité qui doivent être suivies par tout logiciel éditeur ou développeur qui fait affaire avec le gouvernement fédéral. L'une de ces mesures exige que tous les développeurs de logiciels fournissent une nomenclature logicielle (SBOM), une liste d'inventaire complète des composants et des bibliothèques qui composent une application logicielle. Walt Szablowski, fondateur et président exécutif de Éracent, qui fournit une visibilité complète sur les réseaux de ses grandes entreprises clientes depuis plus de deux décennies, observe : « Les SBOM n'ont de sens que s'ils font partie d'une stratégie plus large qui identifie les risques et les vulnérabilités à travers le système de gestion de la chaîne d'approvisionnement logicielle.
L'Administration nationale des télécommunications et de l'information (NTIA) définit une nomenclature logicielle comme "une liste complète et formellement structurée de composants, de bibliothèques et de modules nécessaires pour créer un logiciel donné et les relations de la chaîne d'approvisionnement entre eux."( 4) Les États-Unis sont particulièrement vulnérables aux cyberattaques car une grande partie de leur infrastructure est contrôlée par des entreprises privées qui peuvent ne pas être équipées du niveau de sécurité nécessaire pour contrecarrer une attaque.(5) Le principal avantage des SBOM est qu'ils permettent aux organisations d'identifier si l'un des composants qui composent une application logicielle peut présenter une vulnérabilité susceptible de créer un risque pour la sécurité.
Alors que les agences gouvernementales américaines seront mandatées pour adopter les SBOM, les entreprises commerciales bénéficieront clairement de ce niveau de sécurité supplémentaire. En 2022, le coût moyen d'une violation de données aux États-Unis était de 9.44 millions de dollars, avec une moyenne mondiale de 4.35 millions de dollars.(6) Selon un rapport du Government Accountability Office (GAO), le gouvernement fédéral gère trois systèmes technologiques hérités cinq décennies. Le GAO a averti que ces systèmes obsolètes augmentaient les vulnérabilités de sécurité et s'exécutaient fréquemment sur du matériel et des logiciels qui ne sont plus pris en charge.(7)
Szablowski explique : « Il y a deux aspects clés que chaque organisation devra aborder lors de l'utilisation des SBOM. Tout d'abord, ils doivent disposer d'un outil capable de lire rapidement tous les détails d'un SBOM, de faire correspondre les résultats aux données de vulnérabilité connues et de fournir des rapports tête haute. Deuxièmement, ils doivent être en mesure d'établir un processus automatisé et proactif pour rester au courant des activités liées à SBOM et de toutes les options et processus d'atténuation uniques pour chaque composant ou application logicielle.
Le module de pointe Intelligent Cybersecurity Platform (ICSP)™ d'Eracent Cyber Supply Chain Risk Management™ (C-SCRM) est unique en ce sens qu'il prend en charge ces deux aspects pour fournir un niveau de protection critique supplémentaire afin de minimiser les risques de sécurité liés aux logiciels. Ceci est essentiel lors du lancement d'un programme SBOM proactif et automatisé. L'ICSP C-SCRM offre une protection complète avec une visibilité instantanée pour atténuer toutes les vulnérabilités au niveau des composants. Il reconnaît les composants obsolètes qui peuvent également augmenter les risques de sécurité. Le processus lit automatiquement les détails détaillés dans le SBOM et associe chaque composant répertorié aux données de vulnérabilité les plus récentes à l'aide de la bibliothèque de données de produits informatiques IT-Pedia® d'Eracent - une source unique faisant autorité pour les données essentielles concernant des millions de matériel informatique et produits logiciels.
Une grande majorité des applications commerciales et personnalisées contiennent du code open source. Les outils d'analyse de vulnérabilité standard n'examinent pas les composants open source individuels au sein des applications. Cependant, chacun de ces composants peut contenir des vulnérabilités ou des composants obsolètes, augmentant la sensibilité des logiciels aux failles de cybersécurité. Szablowski note : « La plupart des outils vous permettent de créer ou d'analyser des SBOM, mais ils n'adoptent pas une approche de gestion consolidée et proactive — structure, automatisation et rapports. Les entreprises doivent comprendre les risques pouvant exister dans les logiciels qu'elles utilisent, qu'ils soient open source ou propriétaires. Et les éditeurs de logiciels doivent comprendre les risques potentiels inhérents aux produits qu'ils proposent. Les organisations doivent renforcer leur cybersécurité avec le niveau de protection amélioré offert par le système ICSP C-SCRM d'Eracent.
À propos d'Eracent
Walt Szablowski est le fondateur et président exécutif d'Eracent et préside les filiales d'Eracent (Eracent SP ZOO, Varsovie, Pologne ; Eracent Private LTD à Bangalore, Inde ; et Eracent Brésil). Eracent aide ses clients à relever les défis de la gestion des actifs du réseau informatique, des licences logicielles et de la cybersécurité dans les environnements informatiques complexes et évolutifs d'aujourd'hui. Les entreprises clientes d'Eracent économisent considérablement sur leurs dépenses annuelles en logiciels, réduisent leurs risques d'audit et de sécurité et établissent des processus de gestion des actifs plus efficaces. La clientèle d'Eracent comprend certains des plus grands réseaux et environnements informatiques d'entreprise et gouvernementaux au monde - l'USPS, VISA, l'US Airforce, le ministère britannique de la Défense - et des dizaines d'entreprises du Fortune 500 s'appuient sur les solutions Eracent pour gérer et protéger leurs réseaux. Visite https://eracent.com/.
Références:
1) Venkat, A. (2023, 4 janvier). Les cyberattaques contre les gouvernements ont bondi de 95 % au cours du dernier semestre 2022, selon Cloudsek. OSC en ligne. Extrait le 23 février 2023 de csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek said.html#:~:text=The%20number%20of %20attaques%20ciblage,IA%2D%20cybersécurité%20entreprise%20CloudSek
2) Fleck, A., Richter, F. (2022 décembre 2). Infographie : La cybercriminalité devrait monter en flèche dans les années à venir. Infographie statistique. Extrait le 23 février 2023 de statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=According%20to%20estimates%20from%20Statista's,to%20%2423.84%20trillion %20d'ici%202027
3) Décret exécutif sur l'amélioration de la cybersécurité de la nation. Agence de cybersécurité et de sécurité des infrastructures CISA. (sd). Extrait le 23 février 2023 de cisa.gov/executive-order-improving-nations-cybersecurity
4) La Fondation Linux. (2022, 13 septembre). Qu'est-ce qu'un SBOM ? Fondation Linux. Extrait le 23 février 2023 de linuxfoundation.org/blog/blog/what-is-an-sbom
5) Christofaro, B. (nd). Les cyberattaques sont la nouvelle frontière de la guerre et peuvent frapper plus fort qu'une catastrophe naturelle. voici pourquoi les États-Unis pourraient avoir du mal à faire face s'ils étaient touchés. Interne du milieu des affaires. Extrait le 23 février 2023 de businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) Publié par Ani Petrosyan, 4, S. (2022, 4 septembre). Coût d'une violation de données aux États-Unis 2022. Statista. Extrait le 23 février 2023 de statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/
7) Malone, K. (2021, 30 avril). Le gouvernement fédéral utilise une technologie vieille de 50 ans, sans aucune mise à jour prévue. CIO Plongée. Extrait le 23 février 2023 de ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/
Partager l'article sur les médias sociaux ou par courrier électronique:
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://www.prweb.com/releases/the_governments_software_bill_of_materials_sbom_mandate_is_part_of_a_bigger_cybersecurity_picture/prweb19219949.htm
- :est
- $UP
- 1
- 2021
- 2022
- 2023
- 7
- 84
- 95%
- a
- Capable
- Selon
- la reddition de comptes
- à travers
- activité
- Supplémentaire
- propos
- administration
- adopter
- à opposer à
- agences
- agence
- Tous
- selon une analyse de l’Université de Princeton
- il analyse
- ainsi que le
- et infrastructure
- annuel
- Application
- applications
- une approche
- Avril
- SONT
- article
- AS
- aspects
- atout
- la gestion d'actifs
- Outils
- attaquer
- audit
- Automatisation
- automatiquement
- Automation
- moyen
- RETOUR
- base
- BE
- car
- profiter
- jusqu'à XNUMX fois
- Projet de loi
- Brasil
- violation
- infractions
- Britannique
- construire
- la performance des entreprises
- by
- CAN
- chaîne
- Président
- président
- globaux
- CIO
- clairement
- client
- CLIENTS
- code
- Venir
- commercial
- Sociétés
- par rapport
- complet
- complexe
- composant
- composants électriques
- complet
- contiennent
- contrôlée
- Entreprises
- Prix
- pourriez
- engendrent
- critique
- Infrastructure critique
- Customiser
- Clients
- En investissant dans une technologie de pointe, les restaurants peuvent non seulement rester compétitifs dans un marché en constante évolution, mais aussi améliorer significativement l'expérience de leurs clients.
- cyber
- cyber-attaques
- la cybercriminalité
- Cybersécurité
- données
- violation de données
- Rencontres
- décennies
- Décembre
- Défense
- Définit
- offre
- détails
- Développeur
- mobiles
- catastrophe
- des dizaines
- chacun
- efficace
- permettre
- améliorée
- Entreprise
- environnements
- équipé
- notamment
- essential
- établir
- Chaque
- évolution
- exécutif
- commande exécutive
- attendu
- Explique
- exponentielle
- supplémentaire
- Février
- National
- Gouvernement fédéral
- Prénom
- suivi
- Pour
- Officiellement
- fortune
- Fondation
- fondateur
- fréquemment
- De
- frontière
- GAO
- donné
- Global
- Gouvernement
- Bureau de la responsabilisation du gouvernement
- Bureau de la responsabilité du gouvernement (GAO)
- Gouvernements
- Croître
- Half
- Matériel
- Vous avez
- aide
- ici
- Frappé
- Villa
- Cependant
- HTTPS
- identifie
- identifier
- image
- l'amélioration de
- in
- inclut
- Améliore
- increased
- croissant
- Inde
- individuel
- infographique
- d'information
- Infrastructure
- inhérent
- Insider
- instantané
- Intelligent
- inventaire
- Publié
- IT
- SES
- Janvier
- Sauté
- ACTIVITES
- connu
- gros
- plus importantes
- le plus grand
- Nom de famille
- Legacy
- Niveau
- bibliothèques
- Bibliothèque
- licences
- linux
- fondation linux
- Liste
- Listé
- plus long
- Ltd
- Majorité
- a prendre une
- gérer
- gestion
- les gérer
- Mandat
- Match
- matières premières.
- les mesures
- Médias
- Découvrez
- million
- des millions
- ministère
- Réduire les
- atténuation
- Modules
- PLUS
- plus efficace
- (en fait, presque toutes)
- nation
- Nationales
- Nations
- Nature
- nécessaire
- Besoin
- réseau et
- réseaux
- Date
- nouvelles
- Notes
- nombre
- Observe
- obsolète
- of
- code
- Offres Speciales
- Bureaux
- on
- ONE
- en ligne
- open source
- code open-source
- Options
- de commander
- organisation
- organisations
- partie
- période
- pièce
- prévu
- plateforme
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Pologne
- défaillances
- Privé
- Entreprises privées
- Cybersécurité
- processus
- les process
- Produit
- Produits
- Programme
- propriétaire
- protéger
- protection
- fournir
- à condition de
- publié
- éditeur
- éditeurs
- vite.
- Lire
- reconnaît
- réduire
- Les relations
- rapport
- Rapports
- conditions
- a besoin
- Résultats
- Richter
- Analyse
- risques
- Courir
- pour le running
- s
- même
- Épargnez
- dit
- Deuxièmement
- Secteurs
- sécurité
- risques de sécurité
- Septembre
- sert
- de façon significative
- unique
- flèche
- Réseaux sociaux
- réseaux sociaux
- Logiciels
- Développeurs de logiciels
- Solutions
- quelques
- Identifier
- passer
- Standard
- rester
- de Marketing
- grève
- structure
- structuré
- Lutter
- la quantité
- chaîne d'approvisionnement
- gestion de la chaîne logistique
- Support
- Appareils
- Les soutiens
- combustion propre
- Système
- prise
- Technologie
- monde de télécommunications
- qui
- La
- leur
- Les
- Ces
- trois
- fiable
- à
- aujourd'hui
- outil
- les outils
- top
- Billion
- nous
- Gouvernement des États-Unis
- comprendre
- expérience unique et authentique
- mise à jour
- Actualités
- us
- utilisé
- Vaste
- visa
- définition
- Visiter
- vulnérabilités
- vulnérabilité
- Vulnérable
- guerre
- Varsovie
- Quoi
- Qu’est ce qu'
- que
- qui
- blanc
- maison Blanche
- WHO
- sera
- comprenant
- dans les
- monde
- partout dans le monde
- pourra
- années
- Vous n'avez
- zéphyrnet
- ZOO
