המנדט של ממשלת התוכנה (SBOM) הוא חלק מ...

SBOMs חסרי משמעות אלא אם כן הם חלק מאסטרטגיה גדולה יותר המזהה סיכונים ופגיעות בכל מערכת ניהול שרשרת האספקה ​​של התוכנה.

RIEGELSVILLE, פא. (PRWEB) במרץ 13, 2023

מספר התקפות הסייבר שבוצעו נגד מגזרים ממשלתיים ברחבי העולם גדל ב-95% במחצית השנייה של 2022 בהשוואה לתקופת הזמן המקבילה ב-2021.(1) העלות העולמית של התקפות סייבר צפויה לגדול באופן אקספוננציאלי מ-8.44 טריליון דולר ב-2022 ל-23.84 טריליון דולר ב-2027. 2.(14028) כדי לתמוך בתשתית הקריטית של המדינה וברשתות הממשל הפדרלי, הבית הלבן הוציא צו ביצוע 2021, "שיפור אבטחת הסייבר של המדינה" במאי 3.(XNUMX) ה-EO מגדיר את אמצעי האבטחה שחייבים לפעול על ידי כל תוכנה מוציא לאור או מפתח שעושים עסקים עם הממשלה הפדרלית. אחד מהאמצעים הללו מחייב את כל מפתחי התוכנה לספק תוכנה ביל אוף חומרים (SBOM), רשימת מלאי מלאה של רכיבים וספריות המרכיבים יישום תוכנה. וולט שבלובסקי, מייסד ויו"ר בכיר של ארסנט, אשר סיפקה נראות מלאה לרשתות הלקוחות הארגוניים הגדולים שלה במשך יותר משני עשורים, מציינת, "SBOMs הם חסרי משמעות אלא אם כן הם חלק מאסטרטגיה גדולה יותר המזהה סיכונים ופגיעות בכל מערכת ניהול שרשרת האספקה ​​של התוכנה."

מינהל הטלקומוניקציה והמידע הלאומי (NTIA) מגדיר מסמך חומרי תוכנה כ"רשימה מלאה ומובנית רשמית של רכיבים, ספריות ומודולים הנדרשים לבניית תוכנה נתונה ויחסי שרשרת האספקה ​​ביניהם."( 4) ארה"ב פגיעה במיוחד להתקפות סייבר מכיוון שחלק גדול מהתשתיות שלה נשלט על ידי חברות פרטיות שאולי אינן מצוידות ברמת האבטחה הדרושה כדי לסכל מתקפה.(5) היתרון העיקרי של SBOMs הוא שהם מאפשרים לארגונים לזהות האם לאחד מהרכיבים המרכיבים יישום תוכנה עשוי להיות פגיעות שעלולה ליצור סיכון אבטחה.

בעוד שסוכנויות ממשלתיות בארה"ב יקבלו מנדט לאמץ SBOMs, חברות מסחריות ייהנו בבירור מרמת אבטחה נוספת זו. נכון לשנת 2022, העלות הממוצעת של פריצת מידע בארה"ב היא 9.44 מיליון דולר, עם ממוצע עולמי של 4.35 מיליון דולר.(6) על פי דו"ח Government Accountability Office (GAO), הממשלה הפדרלית מפעילה שלוש מערכות טכנולוגיות מדור קודם. חמישה עשורים. ה-GAO הזהיר כי מערכות מיושנות אלו מגבירות את פרצות האבטחה ופועלות לעתים קרובות על חומרה ותוכנה שאינן נתמכות עוד.(7)

שבלובסקי מסביר, "ישנם שני היבטים מרכזיים שכל ארגון יצטרך להתייחס אליהם בעת שימוש ב-SBOMs. ראשית, עליהם להיות בעל כלי שיכול לקרוא במהירות את כל הפרטים ב-SBOM, להתאים את התוצאות לנתוני פגיעות ידועים ולספק דיווח ראשוני. שנית, הם חייבים להיות מסוגלים להקים תהליך אוטומטי ויזום כדי להישאר מעודכן בפעילות הקשורה ל-SBOM וכל האפשרויות והתהליכים הייחודיים להפחתה עבור כל רכיב או יישום תוכנה."

מודול ה-Cyber ​​Supply Chain Risk Management™ (C-SCRM) החדיש של Eracent ייחודי בכך שהוא תומך בשני ההיבטים הללו כדי לספק רמה נוספת וקריטית של הגנה כדי למזער סיכוני אבטחה מבוססי תוכנה. זה חיוני בעת הפעלת תוכנית SBOM יזומה ואוטומטית. ה-ICSP C-SCRM מציע הגנה מקיפה עם נראות מיידית כדי לצמצם כל פגיעות ברמת הרכיב. הוא מזהה רכיבים מיושנים שיכולים גם להגביר את סיכון האבטחה. התהליך קורא אוטומטית את הפרטים המפורטים בתוך ה-SBOM ומתאים כל רכיב ברשימה לנתוני הפגיעות העדכניים ביותר באמצעות ספריית המידע של IT-Pedia® IT Product Data של Eracent - מקור יחיד וסמכותי לנתונים חיוניים הנוגעים למיליוני חומרת IT ו מוצרי תוכנה."

רוב מכריע של יישומים מסחריים ומותאמים אישית מכילים קוד פתוח. כלים סטנדרטיים לניתוח פגיעות אינם בודקים רכיבי קוד פתוח בודדים בתוך יישומים. עם זאת, כל אחד מהרכיבים הללו עשוי להכיל פגיעויות או רכיבים מיושנים, מה שמגביר את רגישות התוכנה לפרצות אבטחת סייבר. שבלובסקי מציין, "רוב הכלים מאפשרים לך ליצור או לנתח SBOMs, אבל הם לא נוקטים בגישת ניהול מאוחדת ויזומה - מבנה, אוטומציה ודיווח. חברות צריכות להבין את הסיכונים שעשויים להתקיים בתוכנה שבהן הן משתמשות, בין אם היא קוד פתוח או קניינית. ומפרסמי תוכנה צריכים להבין את הסיכונים הפוטנציאליים הגלומים במוצרים שהם מציעים. ארגונים צריכים לחזק את אבטחת הסייבר שלהם ברמת ההגנה המשופרת שמערכת ה-ICSP C-SCRM של Eracent מספקת".

על ארסנט

וולט שבלובסקי הוא המייסד והיו"ר הבכיר של Eracent ומכהן כיו"ר החברות הבנות של Eracent (Eracent SP ZOO, ורשה, פולין; Eracent Private LTD בבנגלור, הודו; ו-Eracent Brazil). Eracent עוזרת ללקוחותיה לעמוד באתגרים של ניהול נכסי רשתות IT, רישיונות תוכנה ואבטחת סייבר בסביבות ה-IT המורכבות והמתפתחות של ימינו. הלקוחות הארגוניים של Eracent חוסכים משמעותית בהוצאות התוכנה השנתיות שלהם, מפחיתים את סיכוני הביקורת והאבטחה שלהם ומבססים תהליכי ניהול נכסים יעילים יותר. בסיס הלקוחות של Eracent כולל כמה מהרשתות הארגוניות והממשלתיות הגדולות בעולם וסביבות IT - USPS, VISA, US Airforce, משרד ההגנה הבריטי - ועשרות חברות Fortune 500 מסתמכות על פתרונות Eracent כדי לנהל ולהגן על הרשתות שלהן. לְבַקֵר https://eracent.com/. 

הפניות:
1) Venkat, A. (2023, 4 בינואר). מתקפות הסייבר נגד ממשלות זינקו ב-95% במחצית האחרונה של 2022, אומר Cloudsek. CSO מקוון. אוחזר ב-23 בפברואר 2023 מ-csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek says.html#:~:text=The%20number%20of %20attacks%20targeting,AI%2Dbased%20cybersecurity%20company%20CloudSek
2) Fleck, A., Richter, F. (2022, 2 בדצמבר). אינפוגרפיקה: פשעי הסייבר צפויים להרקיע שחקים בשנים הקרובות. אינפוגרפיקה סטטיסטית. אוחזר ב-23 בפברואר 2023 מ-statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=According%20to%20estimates%20from%20Statista's,to%20%2423.84%20trill. %20ב-%202027
3) צו ביצוע על שיפור אבטחת הסייבר של המדינה. סוכנות אבטחת סייבר ותשתיות CISA. (נד). אוחזר ב-23 בפברואר 2023 מ-cisa.gov/executive-order-improving-nations-cybersecurity
4) קרן לינוקס. (2022, 13 בספטמבר). מה זה SBOM? קרן לינוקס. אוחזר ב-23 בפברואר 2023 מ-linuxfoundation.org/blog/blog/what-is-an-sbom
5) Christofaro, B. (nd). התקפות סייבר הן הגבול החדש ביותר של מלחמה ויכולות לפגוע יותר מאסון טבע. הנה הסיבה שארה"ב יכולה להתאמץ להתמודד אם היא תיפגע. Business Insider. אוחזר ב-23 בפברואר 2023 מאת businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) הוצאת אני פטרוסיאן, 4, ש' (2022, 4 בספטמבר). עלות פריצת מידע בארה"ב 2022. Statista. אוחזר ב-23 בפברואר 2023 מ-statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/
7) Malone, K. (2021, 30 באפריל). הממשלה הפדרלית מפעילה טכנולוגיה בת 50 שנה - ללא עדכונים מתוכננים. CIO Dive. אוחזר ב-23 בפברואר 2023 מ-ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/

שתף מאמר על מדיה חברתית או דוא"ל: