Mandat Software Bill of Materials (SBOM) Pemerintah Merupakan Bagian dari…

SBOM tidak ada artinya kecuali mereka adalah bagian dari strategi yang lebih besar yang mengidentifikasi risiko dan kerentanan di seluruh sistem manajemen rantai pasokan perangkat lunak.

RIEGELSVILLE, Pa.(PRWEB) 13 Maret, 2023

Jumlah serangan siber yang dilakukan terhadap sektor pemerintah di seluruh dunia meningkat sebesar 95% pada paruh kedua tahun 2022 dibandingkan dengan periode waktu yang sama pada tahun 2021.(1) Biaya global serangan siber diperkirakan akan tumbuh secara eksponensial dari $8.44 triliun pada tahun 2022 menjadi $23.84 triliun pada 2027.(2) Untuk mendukung infrastruktur penting negara dan jaringan Pemerintah Federal, Gedung Putih mengeluarkan Perintah Eksekutif 14028, “Meningkatkan Keamanan Siber Negara” pada Mei 2021.(3) EO menetapkan langkah-langkah keamanan yang harus diikuti oleh perangkat lunak apa pun penerbit atau pengembang yang berbisnis dengan Pemerintah Federal. Salah satu langkah ini mengharuskan semua pengembang perangkat lunak untuk menyediakan Software Bill of Materials (SBOM), daftar inventaris lengkap komponen dan pustaka yang terdiri dari aplikasi perangkat lunak. Walt Szablowski, Pendiri dan Ketua Eksekutif Erasen, yang telah memberikan visibilitas lengkap ke dalam jaringan klien perusahaan besar selama lebih dari dua dekade, mengamati, "SBOM tidak ada artinya kecuali mereka adalah bagian dari strategi yang lebih besar yang mengidentifikasi risiko dan kerentanan di seluruh sistem manajemen rantai pasokan perangkat lunak."

National Telecommunications and Information Administration (NTIA) mendefinisikan Software Bill of Materials sebagai "daftar komponen, perpustakaan, dan modul yang lengkap dan terstruktur secara formal yang diperlukan untuk membangun perangkat lunak tertentu dan hubungan rantai pasokan di antara mereka."( 4) AS sangat rentan terhadap serangan dunia maya karena sebagian besar infrastrukturnya dikendalikan oleh perusahaan swasta yang mungkin tidak dilengkapi dengan tingkat keamanan yang diperlukan untuk menggagalkan serangan.(5) Manfaat utama SBOM adalah memungkinkan organisasi untuk mengidentifikasi apakah salah satu komponen yang menyusun aplikasi perangkat lunak mungkin memiliki kerentanan yang dapat menimbulkan risiko keamanan.

Sementara lembaga pemerintah AS akan diberi mandat untuk mengadopsi SBOM, perusahaan komersial jelas akan mendapat manfaat dari tingkat keamanan ekstra ini. Pada tahun 2022, biaya rata-rata pelanggaran data di AS adalah $9.44 juta, dengan rata-rata global sebesar $4.35 juta.(6) Menurut laporan Kantor Akuntabilitas Pemerintah (GAO), Pemerintah Federal menjalankan tiga sistem teknologi warisan sejak lima dekade. GAO memperingatkan bahwa sistem usang ini meningkatkan kerentanan keamanan dan sering berjalan pada perangkat keras dan perangkat lunak yang tidak lagi didukung.(7)

Szablowski menjelaskan, “Ada dua aspek utama yang harus ditangani oleh setiap organisasi saat menggunakan SBOM. Pertama, mereka harus memiliki alat yang dapat dengan cepat membaca semua detail dalam SBOM, mencocokkan hasilnya dengan data kerentanan yang diketahui, dan menyediakan pelaporan pendahuluan. Kedua, mereka harus dapat membuat proses otomatis dan proaktif untuk tetap mengikuti aktivitas terkait SBOM dan semua opsi dan proses mitigasi yang unik untuk setiap komponen atau aplikasi perangkat lunak.”

Modul Intelligent Cybersecurity Platform (ICSP)™ Cyber ​​Supply Chain Risk Management™ (C-SCRM) Eracent unik karena mendukung kedua aspek ini untuk memberikan tambahan, tingkat perlindungan kritis untuk meminimalkan risiko keamanan berbasis perangkat lunak. Ini penting saat memulai program SBOM otomatis yang proaktif. C-SCRM ICSP menawarkan perlindungan komprehensif dengan visibilitas instan untuk mengurangi kerentanan tingkat komponen apa pun. Itu mengenali komponen usang yang juga dapat meningkatkan risiko keamanan. Proses tersebut secara otomatis membaca perincian yang diperinci dalam SBOM dan mencocokkan setiap komponen yang terdaftar dengan data kerentanan terbaru menggunakan Perpustakaan Data Produk TI IT-Pedia® Eracent — satu sumber otoritatif untuk data penting terkait jutaan perangkat keras TI dan produk perangkat lunak.”

Sebagian besar aplikasi komersial dan khusus berisi kode sumber terbuka. Alat analisis kerentanan standar tidak memeriksa setiap komponen sumber terbuka dalam aplikasi. Namun, salah satu dari komponen ini mungkin mengandung kerentanan atau komponen usang, meningkatkan kerentanan perangkat lunak terhadap pelanggaran keamanan siber. Szablowski mencatat, “Sebagian besar alat memungkinkan Anda membuat atau menganalisis SBOM, tetapi alat tersebut tidak menggunakan pendekatan manajemen proaktif yang terkonsolidasi — struktur, otomatisasi, dan pelaporan. Perusahaan perlu memahami risiko yang mungkin ada pada software yang mereka gunakan, baik open-source maupun proprietary. Dan penerbit perangkat lunak perlu memahami potensi risiko yang melekat pada produk yang mereka tawarkan. Organisasi perlu memperkuat keamanan siber mereka dengan tingkat perlindungan yang ditingkatkan yang diberikan oleh sistem C-SCRM ICSP Eracent.”

Tentang Eracent

Walt Szablowski adalah Pendiri dan Ketua Eksekutif Eracent dan menjabat sebagai Ketua anak perusahaan Eracent (Eracent SP ZOO, Warsawa, Polandia; Eracent Private LTD di Bangalore, India; dan Eracent Brasil). Eracent membantu pelanggannya menghadapi tantangan dalam mengelola aset jaringan TI, lisensi perangkat lunak, dan keamanan dunia maya di lingkungan TI yang kompleks dan berkembang saat ini. Klien perusahaan Eracent menghemat secara signifikan pengeluaran perangkat lunak tahunan mereka, mengurangi risiko audit dan keamanan mereka, dan membangun proses manajemen aset yang lebih efisien. Basis klien Eracent mencakup beberapa jaringan perusahaan dan pemerintah terbesar di dunia serta lingkungan TI — USPS, VISA, Angkatan Udara AS, Kementerian Pertahanan Inggris — dan lusinan perusahaan Fortune 500 mengandalkan solusi Eracent untuk mengelola dan melindungi jaringan mereka. Mengunjungi https://eracent.com/. 

Referensi:
1) Venkat, A. (2023, 4 Januari). Serangan dunia maya terhadap pemerintah melonjak 95% pada paruh terakhir tahun 2022, kata Cloudsek. CSO Daring. Diambil 23 Februari 2023, dari csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek says.html#:~:text=The%20number%20of %20serangan%20penargetan, berbasis AI%2D%20keamanan siber%20perusahaan%20CloudSek
2) Fleck, A., Richter, F. (2022, 2 Desember). Infografis: Cybercrime diperkirakan akan meroket di tahun-tahun mendatang. Infografis Statista. Diakses pada 23 Februari 2023, dari statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=According%20to%20estimates%20from%20Statista's,to%20%2423.84%20triliun %20oleh%202027
3) Perintah eksekutif untuk meningkatkan keamanan siber negara. Cybersecurity dan Badan Keamanan Infrastruktur CISA. (td). Diambil 23 Februari 2023, dari cisa.gov/executive-order-improving-nations-cybersecurity
4) Yayasan Linux. (2022, 13 September). Apa itu SBOM? Yayasan Linux. Diambil 23 Februari 2023, dari linuxfoundation.org/blog/blog/what-is-an-sbom
5) Christofaro, B. (nd). Serangan dunia maya adalah garis depan perang terbaru dan dapat menyerang lebih keras daripada bencana alam. inilah mengapa AS bisa berjuang untuk mengatasinya jika terkena. Orang Dalam Bisnis. Diambil 23 Februari 2023, dari businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) Diterbitkan oleh Ani Petrosyan, 4, S. (2022, 4 September). Biaya pelanggaran data di AS 2022. Statista. Diambil 23 Februari 2023, dari statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/
7) Malone, K. (2021, 30 April). Pemerintah federal menjalankan teknologi berusia 50 tahun – tanpa pembaruan yang direncanakan. Penyelaman CIO. Diambil 23 Februari 2023, dari ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/

Bagikan artikel di media sosial atau email: