Le SBOM sono prive di significato a meno che non facciano parte di una strategia più ampia che identifichi i rischi e le vulnerabilità nel sistema di gestione della supply chain del software.
RIEGELSVILLE, Pennsylvania (PRWEB) 13 Marzo 2023
Il numero di attacchi informatici condotti contro i settori governativi in tutto il mondo è aumentato del 95% nella seconda metà del 2022 rispetto allo stesso periodo di tempo nel 2021. 1.(8.44) Per supportare le infrastrutture critiche della nazione e le reti del governo federale, la Casa Bianca ha emesso l'ordine esecutivo 2022, "Migliorare la sicurezza informatica della nazione" nel maggio 23.84.(2027) L'OE definisce le misure di sicurezza che devono essere seguite da qualsiasi software editore o sviluppatore che fa affari con il governo federale. Una di queste misure richiede a tutti gli sviluppatori di software di fornire una distinta base software (SBOM), un elenco di inventario completo di componenti e librerie che compongono un'applicazione software. Walt Szablowski, fondatore e presidente esecutivo di Eracente, che ha fornito visibilità completa alle reti dei suoi grandi clienti aziendali per oltre due decenni, osserva: "Gli SBOM non hanno senso a meno che non facciano parte di una strategia più ampia che identifica i rischi e le vulnerabilità attraverso il sistema di gestione della supply chain del software".
La National Telecommunications and Information Administration (NTIA) definisce una distinta base software come "un elenco completo e formalmente strutturato di componenti, librerie e moduli necessari per costruire un determinato software e le relazioni della catena di fornitura tra di essi". 4) Gli Stati Uniti sono particolarmente vulnerabili agli attacchi informatici perché gran parte della sua infrastruttura è controllata da società private che potrebbero non essere dotate del livello di sicurezza necessario per contrastare un attacco.(5) Il vantaggio principale delle SBOM è che consentono alle organizzazioni di identificare se uno qualsiasi dei componenti che compongono un'applicazione software può presentare una vulnerabilità che può creare un rischio per la sicurezza.
Mentre le agenzie governative statunitensi saranno incaricate di adottare SBOM, le società commerciali trarrebbero chiaramente vantaggio da questo ulteriore livello di sicurezza. Nel 2022, il costo medio di una violazione dei dati negli Stati Uniti è di 9.44 milioni di dollari, con una media globale di 4.35 milioni di dollari.(6) Secondo un rapporto del Government Accountability Office (GAO), il governo federale gestisce tre sistemi tecnologici legacy che risalgono a cinque decenni. Il GAO ha avvertito che questi sistemi obsoleti aumentano le vulnerabilità della sicurezza e spesso funzionano su hardware e software che non sono più supportati.(7)
Szablowski spiega: “Ci sono due aspetti chiave che ogni organizzazione dovrà affrontare quando utilizza le SBOM. In primo luogo, devono disporre di uno strumento in grado di leggere rapidamente tutti i dettagli in una SBOM, abbinare i risultati ai dati sulle vulnerabilità note e fornire report di avviso. In secondo luogo, devono essere in grado di stabilire un processo automatizzato e proattivo per rimanere al passo con le attività relative a SBOM e tutte le opzioni e i processi di mitigazione unici per ciascun componente o applicazione software.
Modulo all'avanguardia Intelligent Cybersecurity Platform (ICSP)™ di Eracent Cyber Supply Chain Risk Management™ (C-SCRM) è unico in quanto supporta entrambi questi aspetti per fornire un ulteriore livello critico di protezione per ridurre al minimo i rischi per la sicurezza basati sul software. Questo è essenziale quando si avvia un programma SBOM proattivo e automatizzato. L'ICSP C-SCRM offre una protezione completa con visibilità immediata per mitigare qualsiasi vulnerabilità a livello di componente. Riconosce i componenti obsoleti che possono anche aumentare il rischio per la sicurezza. Il processo legge automaticamente i dettagli dettagliati all'interno della SBOM e abbina ciascun componente elencato ai dati di vulnerabilità più aggiornati utilizzando la libreria di dati sui prodotti IT IT-Pedia® di Eracent, un'unica fonte autorevole per i dati essenziali riguardanti milioni di hardware IT e prodotti software.”
La stragrande maggioranza delle applicazioni commerciali e personalizzate contiene codice open source. Gli strumenti standard di analisi delle vulnerabilità non esaminano i singoli componenti open source all'interno delle applicazioni. Tuttavia, ognuno di questi componenti può contenere vulnerabilità o componenti obsoleti, aumentando la suscettibilità del software alle violazioni della sicurezza informatica. Szablowski osserva: "La maggior parte degli strumenti consente di creare o analizzare SBOM, ma non adottano un approccio di gestione consolidato e proattivo: struttura, automazione e reporting. Le aziende devono comprendere i rischi che possono esistere nel software che utilizzano, sia esso open-source o proprietario. E gli editori di software devono comprendere i potenziali rischi inerenti ai prodotti che offrono. Le organizzazioni devono rafforzare la propria sicurezza informatica con il livello avanzato di protezione offerto dal sistema ICSP C-SCRM di Eracent.”
A proposito di Eracent
Walt Szablowski è il fondatore e presidente esecutivo di Eracent e ricopre il ruolo di presidente delle filiali di Eracent (Eracent SP ZOO, Varsavia, Polonia; Eracent Private LTD a Bangalore, India; ed Eracent Brasile). Eracent aiuta i suoi clienti ad affrontare le sfide della gestione delle risorse di rete IT, delle licenze software e della sicurezza informatica negli ambienti IT complessi e in continua evoluzione di oggi. I clienti aziendali di Eracent risparmiano in modo significativo sulla spesa annuale per il software, riducono i rischi di audit e sicurezza e stabiliscono processi di gestione delle risorse più efficienti. La base di clienti di Eracent include alcune delle più grandi reti aziendali e governative e ambienti IT del mondo - USPS, VISA, US Airforce, Ministero della Difesa britannico - e dozzine di aziende Fortune 500 si affidano alle soluzioni Eracent per gestire e proteggere le proprie reti. Visita https://eracent.com/.
Riferimenti:
1) Venkat, A. (2023, 4 gennaio). Gli attacchi informatici contro i governi sono aumentati del 95% nell'ultima metà del 2022, afferma Cloudsek. OSC in linea. Estratto il 23 febbraio 2023 da csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek dice.html#:~:text=The%20number%20of %20attacchi%20targeting,AI%2Dbased%20sicurezza informatica%20azienda%20CloudSek
2) Fleck, A., Richter, F. (2022, 2 dicembre). Infografica: il crimine informatico dovrebbe salire alle stelle nei prossimi anni. Infografica Statista. Estratto il 23 febbraio 2023 da statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=According%20to%20symmetrics%20from%20Statista's,to%20%2423.84%20trilion %20by%202027
3) Ordine esecutivo sul miglioramento della sicurezza informatica della nazione. Agenzia per la sicurezza informatica e delle infrastrutture CISA. (nd). Estratto il 23 febbraio 2023 da cisa.gov/executive-order-improving-nations-cybersecurity
4) La Fondazione Linux. (2022, 13 settembre). Che cos'è un SBOM? Fondazione Linux. Estratto il 23 febbraio 2023 da linuxfoundation.org/blog/blog/what-is-an-sbom
5) Christofaro, B. (nd). Gli attacchi informatici sono l'ultima frontiera della guerra e possono colpire più duramente di un disastro naturale. ecco perché gli Stati Uniti potrebbero avere difficoltà a far fronte se venissero colpiti. Business Insider. Estratto il 23 febbraio 2023 da businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) Pubblicato da Ani Petrosyan, 4, S. (2022, 4 settembre). Costo di una violazione dei dati negli Stati Uniti 2022. Statista. Estratto il 23 febbraio 2023 da statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/
7) Malone, K. (2021, 30 aprile). Il governo federale utilizza una tecnologia vecchia di 50 anni, senza aggiornamenti pianificati. Immersione del CIO. Estratto il 23 febbraio 2023 da ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/
Condividi l'articolo su social media o email:
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.prweb.com/releases/the_governments_software_bill_of_materials_sbom_mandate_is_part_of_a_bigger_cybersecurity_picture/prweb19219949.htm
- :È
- $ SU
- 1
- 2021
- 2022
- 2023
- 7
- 84
- 95%
- a
- capace
- Secondo
- responsabilità
- operanti in
- attività
- aggiuntivo
- indirizzo
- amministrazione
- adottare
- contro
- agenzie
- agenzia
- Tutti
- .
- analizzare
- ed
- e infrastruttura
- annuale
- Applicazioni
- applicazioni
- approccio
- Aprile
- SONO
- articolo
- AS
- aspetti
- attività
- gestione delle risorse
- Attività
- attacco
- revisione
- Automatizzata
- automaticamente
- Automazione
- media
- precedente
- base
- BE
- perché
- beneficio
- fra
- Conto
- Brasil
- violazione
- violazioni
- britannico
- costruire
- affari
- by
- Materiale
- catena
- Chair
- presidente
- sfide
- CIO
- chiaramente
- cliente
- clienti
- codice
- arrivo
- Aziende
- rispetto
- completamento di una
- complesso
- componente
- componenti
- globale
- contenere
- controllata
- Aziende
- Costo
- potuto
- creare
- critico
- Infrastruttura critica
- costume
- Clienti
- bordo tagliente
- Cyber
- attacchi informatici
- cybercrime
- Cybersecurity
- dati
- violazione di dati
- Incontri
- decenni
- Dicembre
- Difesa
- definisce
- fornisce un monitoraggio
- dettagli
- Costruttori
- sviluppatori
- disastro
- decine
- ogni
- efficiente
- enable
- migliorata
- Impresa
- ambienti
- attrezzato
- particolarmente
- essential
- stabilire
- Ogni
- evoluzione
- esecutivo
- ordine esecutivo
- previsto
- Spiega
- in modo esponenziale
- extra
- Febbraio
- Federale
- Governo federale
- Nome
- seguito
- Nel
- formalmente
- Fortune
- Fondazione
- fondatore
- frequentemente
- da
- Frontier
- GAO
- dato
- globali
- Enti Pubblici
- Ufficio di responsabilità del governo
- Ufficio per la responsabilità del governo (GAO)
- I governi
- Crescere
- Metà
- Hardware
- Avere
- aiuta
- qui
- Colpire
- Casa
- Tuttavia
- HTTPS
- identifica
- identificare
- Immagine
- miglioramento
- in
- inclusi
- Aumento
- è aumentato
- crescente
- India
- individuale
- infografica
- informazioni
- Infrastruttura
- inerente
- Insider
- immediato
- Intelligente
- inventario
- Rilasciato
- IT
- SUO
- Gennaio
- saltato
- Le
- conosciuto
- grandi
- superiore, se assunto singolarmente.
- maggiore
- Cognome
- Eredità
- Livello
- biblioteche
- Biblioteca
- licenze
- linux
- fondazione linux
- Lista
- elencati
- più a lungo
- Ltd
- Maggioranza
- make
- gestire
- gestione
- gestione
- Mandato
- partita
- Materiale
- analisi
- Media
- Soddisfare
- milione
- milioni
- ministero
- Ridurre la perdita dienergia con una
- attenuazione
- moduli
- Scopri di più
- più efficiente
- maggior parte
- nazione
- il
- Nazioni
- Naturale
- necessaria
- Bisogno
- Rete
- reti
- Nuovi Arrivi
- notizie
- Note
- numero
- Osserva
- obsoleto
- of
- offrire
- Offerte
- Office
- on
- ONE
- online
- open source
- codice open source
- Opzioni
- minimo
- organizzazione
- organizzazioni
- parte
- periodo
- pezzo
- previsto
- piattaforma
- Platone
- Platone Data Intelligence
- PlatoneDati
- Polonia
- potenziale
- un bagno
- Compagnie private
- Proactive
- processi
- i processi
- Prodotto
- Prodotti
- Programma
- proprio
- protegge
- protezione
- fornire
- purché
- pubblicato
- editore
- editori
- rapidamente
- Leggi
- riconosce
- ridurre
- Relazioni
- rapporto
- Reportistica
- necessario
- richiede
- Risultati
- Richter
- Rischio
- rischi
- Correre
- running
- s
- stesso
- Risparmi
- dice
- Secondo
- Settori
- problemi di
- rischi per la sicurezza
- Settembre
- serve
- significativamente
- singolo
- d'altissimo profilo
- Social
- Social Media
- Software
- Sviluppatori di software
- Soluzioni
- alcuni
- Fonte
- spendere
- Standard
- soggiorno
- Strategia
- sciopero
- La struttura
- strutturato
- Lotta
- fornire
- supply chain
- gestione della catena di approvvigionamento
- supporto
- supportato
- supporti
- sistema
- SISTEMI DI TRATTAMENTO
- presa
- Tecnologia
- telecomunicazioni
- che
- Il
- loro
- Li
- Strumenti Bowman per analizzare le seguenti finiture:
- tre
- tempo
- a
- di oggi
- strumenti
- top
- Trilione
- noi
- Governo degli Stati Uniti
- capire
- unico
- up-to-date
- Aggiornamenti
- us
- uso
- Fisso
- Visa
- visibilità
- Visita
- vulnerabilità
- vulnerabilità
- Vulnerabile
- guerra
- Varsavia
- Che
- Che cosa è l'
- se
- quale
- bianca
- Casa Bianca
- OMS
- volere
- con
- entro
- Il mondo di
- In tutto il mondo
- sarebbe
- anni
- Tu
- zefiro
- ZOO
