सरकार का सॉफ्टवेयर बिल ऑफ मैटेरियल्स (एसबीओएम) अधिदेश किसका हिस्सा है?

सरकार का सॉफ्टवेयर बिल ऑफ मैटेरियल्स (एसबीओएम) शासनादेश का हिस्सा है ...

समय टिकट: 12 मार्च, 2023 8:00 PM
समाचार छवि

एसबीओएम तब तक निरर्थक हैं जब तक कि वे एक बड़ी रणनीति का हिस्सा न हों जो सॉफ्टवेयर आपूर्ति श्रृंखला प्रबंधन प्रणाली में जोखिमों और कमजोरियों की पहचान करती है।

रीगल्सविल, पीए (पीआरवेब) मार्च २०,२०२१

दुनिया भर में सरकारी क्षेत्रों के खिलाफ किए गए साइबर हमलों की संख्या 95 की समान अवधि की तुलना में 2022 की दूसरी छमाही में 2021% बढ़ गई है। (1) साइबर हमलों की वैश्विक लागत 8.44 में 2022 ट्रिलियन डॉलर से तेजी से बढ़कर 23.84 ट्रिलियन डॉलर होने की उम्मीद है। 2027.(2) देश के महत्वपूर्ण बुनियादी ढांचे और संघीय सरकार नेटवर्क का समर्थन करने के लिए, व्हाइट हाउस ने मई 14028 में कार्यकारी आदेश 2021, "देश की साइबर सुरक्षा में सुधार" जारी किया। (3) ईओ उन सुरक्षा उपायों को परिभाषित करता है जिनका किसी भी सॉफ़्टवेयर द्वारा पालन किया जाना चाहिए प्रकाशक या डेवलपर जो संघीय सरकार के साथ व्यापार करता है। इन उपायों में से एक के लिए सभी सॉफ्टवेयर डेवलपर्स को सॉफ्टवेयर बिल ऑफ मैटेरियल्स (एसबीओएम), घटकों और पुस्तकालयों की एक पूरी सूची प्रदान करने की आवश्यकता होती है, जिसमें एक सॉफ्टवेयर एप्लिकेशन शामिल होता है। वॉल्ट स्ज़ाब्लोस्की, संस्थापक और कार्यकारी अध्यक्ष एरासेंट, जिसने दो दशकों से अधिक समय से अपने बड़े उद्यम ग्राहकों के नेटवर्क में पूर्ण दृश्यता प्रदान की है, का मानना ​​है, "एसबीओएम तब तक निरर्थक हैं जब तक कि वे एक बड़ी रणनीति का हिस्सा नहीं हैं जो सॉफ्टवेयर आपूर्ति श्रृंखला प्रबंधन प्रणाली में जोखिमों और कमजोरियों की पहचान करती है।"

राष्ट्रीय दूरसंचार और सूचना प्रशासन (एनटीआईए) सामग्री के सॉफ्टवेयर बिल को "घटकों, पुस्तकालयों और मॉड्यूल की एक पूर्ण, औपचारिक रूप से संरचित सूची के रूप में परिभाषित करता है जो सॉफ्टवेयर के दिए गए टुकड़े और उनके बीच आपूर्ति श्रृंखला संबंधों को बनाने के लिए आवश्यक हैं।"( 4) अमेरिका विशेष रूप से साइबर हमलों के प्रति संवेदनशील है क्योंकि इसका अधिकांश बुनियादी ढांचा निजी कंपनियों द्वारा नियंत्रित किया जाता है जो किसी हमले को विफल करने के लिए आवश्यक सुरक्षा स्तर से सुसज्जित नहीं हो सकते हैं। (5) एसबीओएम का मुख्य लाभ यह है कि वे संगठनों को पहचानने में सक्षम बनाते हैं क्या सॉफ़्टवेयर एप्लिकेशन बनाने वाले किसी भी घटक में कोई भेद्यता हो सकती है जो सुरक्षा जोखिम पैदा कर सकती है।

जबकि अमेरिकी सरकारी एजेंसियों को एसबीओएम अपनाने के लिए बाध्य किया जाएगा, वाणिज्यिक कंपनियों को सुरक्षा के इस अतिरिक्त स्तर से स्पष्ट रूप से लाभ होगा। 2022 तक, अमेरिका में डेटा उल्लंघन की औसत लागत $9.44 मिलियन है, जबकि वैश्विक औसत $4.35 मिलियन है।(6) सरकारी जवाबदेही कार्यालय (जीएओ) की रिपोर्ट के अनुसार, संघीय सरकार तीन विरासती प्रौद्योगिकी प्रणालियाँ चलाती है। पाँच दशक. जीएओ ने चेतावनी दी कि ये पुराने सिस्टम सुरक्षा कमजोरियों को बढ़ाते हैं और अक्सर हार्डवेयर और सॉफ्टवेयर पर चलते हैं जो अब समर्थित नहीं हैं।(7)

स्ज़ाब्लोस्की बताते हैं, “एसबीओएम का उपयोग करते समय प्रत्येक संगठन को दो प्रमुख पहलुओं पर ध्यान देना होगा। सबसे पहले, उनके पास एक उपकरण होना चाहिए जो एसबीओएम में सभी विवरणों को तुरंत पढ़ सके, ज्ञात भेद्यता डेटा के साथ परिणामों का मिलान कर सके और हेड-अप रिपोर्टिंग प्रदान कर सके। दूसरा, उन्हें एसबीओएम से संबंधित गतिविधि और प्रत्येक घटक या सॉफ्टवेयर एप्लिकेशन के लिए सभी अद्वितीय शमन विकल्पों और प्रक्रियाओं में शीर्ष पर बने रहने के लिए एक स्वचालित, सक्रिय प्रक्रिया स्थापित करने में सक्षम होना चाहिए।

एरासेंट का अत्याधुनिक इंटेलिजेंट साइबर सिक्योरिटी प्लेटफॉर्म (आईसीएसपी)™ साइबर सप्लाई चेन रिस्क मैनेजमेंट™ (सी-एससीआरएम) मॉड्यूल यह अद्वितीय है कि यह सॉफ़्टवेयर-आधारित सुरक्षा जोखिमों को कम करने के लिए अतिरिक्त, महत्वपूर्ण स्तर की सुरक्षा प्रदान करने के लिए इन दोनों पहलुओं का समर्थन करता है। एक सक्रिय, स्वचालित एसबीओएम कार्यक्रम शुरू करते समय यह आवश्यक है। आईसीएसपी सी-एससीआरएम किसी भी घटक-स्तर की कमजोरियों को कम करने के लिए तत्काल दृश्यता के साथ व्यापक सुरक्षा प्रदान करता है। यह अप्रचलित घटकों को पहचानता है जो सुरक्षा जोखिम भी बढ़ा सकते हैं। प्रक्रिया स्वचालित रूप से एसबीओएम के भीतर आइटम विवरण को पढ़ती है और एरासेंट के आईटी-पीडिया® आईटी उत्पाद डेटा लाइब्रेरी का उपयोग करके प्रत्येक सूचीबद्ध घटक को सबसे अद्यतित भेद्यता डेटा से मेल खाती है - लाखों आईटी हार्डवेयर से संबंधित आवश्यक डेटा के लिए एक एकल, आधिकारिक स्रोत और सॉफ्टवेयर उत्पाद।"

अधिकांश वाणिज्यिक और कस्टम एप्लिकेशन में ओपन-सोर्स कोड होता है। मानक भेद्यता विश्लेषण उपकरण अनुप्रयोगों के भीतर व्यक्तिगत ओपन-सोर्स घटकों की जांच नहीं करते हैं। हालाँकि, इनमें से किसी भी घटक में कमजोरियाँ या अप्रचलित घटक हो सकते हैं, जिससे साइबर सुरक्षा उल्लंघनों के लिए सॉफ़्टवेयर की संवेदनशीलता बढ़ जाती है। स्ज़ाब्लोस्की कहते हैं, “अधिकांश उपकरण आपको एसबीओएम बनाने या उनका विश्लेषण करने देते हैं, लेकिन वे एक समेकित, सक्रिय प्रबंधन दृष्टिकोण - संरचना, स्वचालन और रिपोर्टिंग नहीं अपना रहे हैं। कंपनियों को उन जोखिमों को समझने की ज़रूरत है जो उनके द्वारा उपयोग किए जाने वाले सॉफ़्टवेयर में मौजूद हो सकते हैं, चाहे वह ओपन-सोर्स हो या मालिकाना। और सॉफ़्टवेयर प्रकाशकों को उनके द्वारा पेश किए जाने वाले उत्पादों में निहित संभावित जोखिमों को समझने की आवश्यकता है। संगठनों को एरासेंट के आईसीएसपी सी-एससीआरएम सिस्टम द्वारा प्रदान की जाने वाली सुरक्षा के उन्नत स्तर के साथ अपनी साइबर सुरक्षा को मजबूत करने की आवश्यकता है।

Eracent के बारे में

वॉल्ट स्ज़ाब्लोव्स्की एरासेंट के संस्थापक और कार्यकारी अध्यक्ष हैं और एरासेंट की सहायक कंपनियों (एरासेंट एसपी चिड़ियाघर, वारसॉ, पोलैंड; बैंगलोर, भारत में एरासेंट प्राइवेट लिमिटेड और एरासेंट ब्राजील) के अध्यक्ष के रूप में कार्य करते हैं। एरासेंट अपने ग्राहकों को आज के जटिल और विकसित आईटी वातावरण में आईटी नेटवर्क संपत्तियों, सॉफ्टवेयर लाइसेंस और साइबर सुरक्षा के प्रबंधन की चुनौतियों से निपटने में मदद करता है। एरासेंट के एंटरप्राइज़ ग्राहक अपने वार्षिक सॉफ़्टवेयर खर्च पर महत्वपूर्ण बचत करते हैं, अपने ऑडिट और सुरक्षा जोखिमों को कम करते हैं, और अधिक कुशल परिसंपत्ति प्रबंधन प्रक्रियाएं स्थापित करते हैं। एरासेंट के ग्राहक आधार में दुनिया के कुछ सबसे बड़े कॉर्पोरेट और सरकारी नेटवर्क और आईटी वातावरण शामिल हैं - यूएसपीएस, वीज़ा, यूएस एयरफोर्स, ब्रिटिश रक्षा मंत्रालय - और दर्जनों फॉर्च्यून 500 कंपनियां अपने नेटवर्क के प्रबंधन और सुरक्षा के लिए एरासेंट समाधानों पर भरोसा करती हैं। मिलने जाना https://eracent.com/. 

सन्दर्भ:
1) वेंकट, ए. (2023, 4 जनवरी)। क्लाउडसेक का कहना है कि 95 की आखिरी छमाही में सरकारों के खिलाफ साइबर हमलों में 2022% की वृद्धि हुई है। सीएसओ ऑनलाइन। 23 फरवरी, 2023 को csoonline.com/article/3684668/cyberattacks-against-गवर्नमेंट्स-जंपेड-95-इन-लास्ट-हाफ-ऑफ-2022-क्लाउडसेक से पुनर्प्राप्त किया गया। %20हमले%20लक्ष्यीकरण,एआई%20डीआधारित%20साइबरसुरक्षा%2कंपनी%20क्लाउडसेक
2) फ्लेक, ए., रिक्टर, एफ. (2022, 2 दिसंबर)। इन्फोग्राफिक: आने वाले वर्षों में साइबर अपराध बढ़ने की आशंका है। स्टेटिस्टा इन्फोग्राफिक्स। 23 फरवरी, 2023 को statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/# से लिया गया:~:text=According%20to%20estimates%20from%20Statista's,to%20%2423.84%20tillion %20by%202027
3) देश की साइबर सुरक्षा में सुधार पर कार्यकारी आदेश। साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी सीआईएसए। (रा)। 23 फरवरी, 2023 को cisa.gov/executive-order-improving-nations-cybersecurity से लिया गया
4) लिनक्स फाउंडेशन। (2022, 13 सितंबर)। एसबीओएम क्या है? लिनक्स फाउंडेशन. 23 फरवरी, 2023 को linuxfoundation.org/blog/blog/what-is-an-sbom से लिया गया
5) क्रिस्टोफ़ारो, बी. (एनडी)। साइबर हमले युद्ध की नवीनतम सीमा हैं और प्राकृतिक आपदा से भी अधिक गंभीर हमले कर सकते हैं। यहां बताया गया है कि अगर अमेरिका पर हमला हुआ तो उसे इससे निपटने के लिए संघर्ष क्यों करना पड़ सकता है। व्यापार अंदरूनी सूत्र। 23 फरवरी, 2023 को Businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4 से लिया गया
6) एनी पेत्रोसियन द्वारा प्रकाशित, 4, एस. (2022, 4 सितंबर)। यूएस 2022 में डेटा उल्लंघन की लागत। स्टेटिस्टा। 23 फरवरी, 2023 को statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/ से लिया गया
7) मेलोन, के. (2021, 30 अप्रैल)। संघीय सरकार 50 साल पुरानी तकनीक चला रही है - जिसमें कोई अद्यतन योजना नहीं है। सीआईओ गोता. 23 फरवरी, 2023 को ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/ से लिया गया

सोशल मीडिया या ईमेल पर लेख साझा करें:

समय टिकट:

से अधिक कंप्यूटर सुरक्षा