SBOM は、ソフトウェア サプライ チェーン管理システム全体のリスクと脆弱性を特定するより大きな戦略の一部でない限り、意味がありません。
ペンシルベニア州リーゲルスビル (PRWEB) 2023 年 3 月 13 日
世界中の政府部門に対して行われたサイバー攻撃の数は、95 年の同時期と比較して、2022 年の後半に 2021% 増加しました。(1) サイバー攻撃の世界的なコストは、8.44 年の 2022 兆ドルから、 23.84.(2027) 国の重要なインフラストラクチャと連邦政府のネットワークをサポートするために、ホワイトハウスは 2 年 14028 月に大統領令 2021「国家のサイバーセキュリティの改善」を発行しました。(3) EO は、すべてのソフトウェアが従わなければならないセキュリティ対策を定義します。連邦政府と取引を行う発行者または開発者。 これらの手段の XNUMX つは、すべてのソフトウェア開発者に、ソフトウェア アプリケーションを構成するコンポーネントとライブラリの完全なインベントリ リストであるソフトウェア部品表 (SBOM) を提供することを要求します。 Walt Szablowski、創設者兼執行会長 エラセントは、XNUMX 年以上にわたって大企業クライアントのネットワークを完全に可視化してきましたが、「SBOM は、ソフトウェア サプライ チェーン管理システム全体のリスクと脆弱性を特定するより大きな戦略の一部でない限り、意味がありません」と述べています。
National Telecommunications and Information Administration (NTIA) は、ソフトウェア部品表を「特定のソフトウェアとそれらの間のサプライ チェーン関係を構築するために必要なコンポーネント、ライブラリ、およびモジュールの完全で正式に構造化されたリスト」と定義しています。 4) 米国は、インフラストラクチャの多くが、攻撃を阻止するために必要なレベルのセキュリティを備えていない可能性がある民間企業によって管理されているため、サイバー攻撃に対して特に脆弱です.(5) SBOM の主な利点は、組織が特定できることです。ソフトウェア アプリケーションを構成するコンポーネントのいずれかに、セキュリティ リスクを引き起こす可能性がある脆弱性があるかどうか。
米国政府機関は SBOM の採用を義務付けられますが、営利企業はこの追加レベルのセキュリティから明らかに利益を得るでしょう。 2022 年の時点で、米国におけるデータ侵害の平均コストは 9.44 万ドルで、世界平均は 4.35 万ドルです (6) 政府説明責任局 (GAO) のレポートによると、連邦政府はさかのぼる 7 つのレガシー テクノロジー システムを運用しています。 XNUMX年。 GAO は、これらの古いシステムがセキュリティの脆弱性を増大させ、サポートされなくなったハードウェアやソフトウェア上で頻繁に実行されると警告しました.(XNUMX)
Szablowski 氏は次のように説明しています。 まず、SBOM のすべての詳細をすばやく読み取り、結果を既知の脆弱性データと照合し、ヘッドアップ レポートを提供できるツールが必要です。 XNUMX つ目は、自動化されたプロアクティブなプロセスを確立して、SBOM 関連のアクティビティと、コンポーネントまたはソフトウェア アプリケーションごとに独自の緩和オプションとプロセスをすべて把握できるようにすることです。」
Eracent の最先端の Intelligent Cybersecurity Platform (ICSP)™ Cyber Supply Chain Risk Management™ (C-SCRM) モジュール ソフトウェア ベースのセキュリティ リスクを最小限に抑えるために、追加の重要なレベルの保護を提供するために、これらの側面の両方をサポートするという点でユニークです。 これは、プロアクティブで自動化された SBOM プログラムを開始する際に不可欠です。 ICSP C-SCRM は、コンポーネント レベルの脆弱性を軽減するための即時の可視性を備えた包括的な保護を提供します。 また、セキュリティ リスクを高める可能性がある古いコンポーネントを認識します。 このプロセスは、SBOM 内の明細化された詳細を自動的に読み取り、列挙された各コンポーネントを Eracent の IT-Pedia® IT 製品データ ライブラリを使用して最新の脆弱性データと照合します。ソフトウェア製品」です。
商用およびカスタム アプリケーションの大部分には、オープン ソース コードが含まれています。 標準の脆弱性分析ツールは、アプリケーション内の個々のオープンソース コンポーネントを精査しません。 ただし、これらのコンポーネントのいずれにも脆弱性や廃止されたコンポーネントが含まれている可能性があり、サイバーセキュリティ侵害に対するソフトウェアの脆弱性が高まっています。 Szablowski 氏は次のように述べています。 企業は、オープンソースかプロプライエタリかを問わず、使用するソフトウェアに存在する可能性のあるリスクを理解する必要があります。 また、ソフトウェア発行者は、提供する製品に内在する潜在的なリスクを理解する必要があります。 組織は、Eracent の ICSP C-SCRM システムが提供する保護レベルを強化して、サイバーセキュリティを強化する必要があります。」
エラセントについて
Walt Szablowski は、Eracent の創設者兼執行会長であり、Eracent の子会社 (ポーランド、ワルシャワの Eracent SP ZOO、インドのバンガロールにある Eracent Private LTD、および Eracent ブラジル) の会長を務めています。 Eracent は、今日の複雑で進化し続ける IT 環境で、IT ネットワーク資産、ソフトウェア ライセンス、およびサイバーセキュリティを管理するという課題に顧客が対応できるように支援します。 Eracent のエンタープライズ クライアントは、年間のソフトウェア支出を大幅に節約し、監査とセキュリティのリスクを軽減し、より効率的な資産管理プロセスを確立しています。 Eracent のクライアント ベースには、USPS、VISA、米国空軍、英国国防省など、世界最大の企業および政府ネットワークと IT 環境が含まれており、Fortune 500 企業の数十社がネットワークの管理と保護に Eracent ソリューションを利用しています。 訪問 https://eracent.com/.
参照:
1) Venkat, A. (2023 年 4 月 95 日)。 Cloudsek によると、政府に対するサイバー攻撃は 2022 年後半に 23% 増加しました。 CSO オンライン。 2023 年 3684668 月 95 日、csoonline.com/article/2022/cyberattacks-against-governments-jumped-20-in-last-half-of-20-cloudsek から取得。html#:~:text=The%20number%20of %2attacks%20targeting,AI%20Dbased%20cybersecurity%XNUMXcompany%XNUMXCloudSek
2) Fleck, A., Richter, F. (2022 年 2 月 23 日)。 インフォグラフィック: サイバー犯罪は今後数年間で急増すると予想されます。 スタティスタのインフォグラフィック。 2023 年 28878 月 2027 日、statista.com/chart/20/expected-cost-of-cybercrime-until-20/#:~:text=According%20to%20estimates%20from%2423.84Statista's,to%20%20%202027trillion から取得%XNUMXby%XNUMX
3) 国家のサイバーセキュリティの改善に関する大統領令。 サイバーセキュリティおよびインフラストラクチャ セキュリティ機関の CISA。 (nd)。 23 年 2023 月 XNUMX 日、cisa.gov/executive-order-improving-nations-cybersecurity から取得
4) Linux ファウンデーション。 (2022 年 13 月 23 日)。 SBOM とは何ですか? リナックス財団。 2023 年 XNUMX 月 XNUMX 日、linuxfoundation.org/blog/blog/what-is-an-sbom から取得
5) Christofaro, B. (nd). サイバー攻撃は戦争の最新のフロンティアであり、自然災害よりも深刻な打撃を与える可能性があります。 攻撃を受けた場合、米国が対処するのに苦労する可能性がある理由はここにあります。 ビジネスインサイダー。 23 年 2023 月 2019 日、businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-4-XNUMX から取得
6) Ani Petrosyan 発行、4、S. (2022 年 4 月 2022 日)。 23 年の米国におけるデータ侵害のコスト。Statista。 2023 年 273575 月 XNUMX 日、statista.com/statistics/XNUMX/us-average-cost-incurred-by-a-data-breach/ から取得
7) Malone, K. (2021 年 30 月 50 日)。 連邦政府は 23 年前の技術を運用しており、更新の予定はありません。 CIOダイブ。 2023 年 599375 月 XNUMX 日、ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/XNUMX/ から取得
ソーシャルメディアまたは電子メールで記事を共有する:
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://www.prweb.com/releases/the_governments_software_bill_of_materials_sbom_mandate_is_part_of_a_bigger_cybersecurity_picture/prweb19219949.htm
- :は
- $UP
- 1
- 2021
- 2022
- 2023
- 7
- 84
- 視聴者の38%が
- a
- できる
- 従った
- 説明責任
- 越えて
- アクティビティ
- NEW
- 住所
- 管理
- 採用
- に対して
- 機関
- 代理店
- すべて
- 分析
- 分析します
- および
- とインフラ
- 毎年恒例の
- 申し込み
- アプローチ
- 4月
- です
- 記事
- AS
- 側面
- 資産
- 資産管理
- 資産
- 攻撃
- 監査
- 自動化
- 自動的に
- オートメーション
- 平均
- バック
- ベース
- BE
- なぜなら
- 恩恵
- の間に
- ビル
- ブラジル
- 違反
- 違反
- 英国の
- ビルド
- ビジネス
- by
- 缶
- チェーン
- 椅子
- 会長
- 課題
- 最高情報責任者
- はっきりと
- クライアント
- クライアント
- コード
- 到来
- コマーシャル
- 企業
- 比べ
- コンプリート
- 複雑な
- コンポーネント
- コンポーネント
- 包括的な
- 含む
- 制御
- 企業
- 費用
- 可能性
- 作ります
- 重大な
- 重要インフラ
- カスタム
- Customers
- 最先端
- サイバー
- サイバー攻撃
- サイバー犯罪
- サイバーセキュリティ
- データ
- データ侵害
- 年代測定
- 数十年
- 12月
- 防衛
- 定義する
- 提供します
- 細部
- Developer
- 開発者
- 災害
- 数十
- 各
- 効率的な
- enable
- 強化された
- Enterprise
- 環境
- 装備
- 特に
- 本質的な
- 確立する
- あらゆる
- 進化
- エグゼクティブ
- 行政命令
- 予想される
- 説明
- 指数関数的に
- 余分な
- 2月
- 連邦政府の
- 連邦政府
- 名
- 続いて
- 正式に
- フォーチュン
- Foundation
- AIとMoku
- 頻繁に
- から
- フロンティア
- GAO
- 与えられた
- グローバル
- 政府・公共機関
- 政府責任オフィス
- 政府説明責任局(GAO)
- 政府
- 成長する
- 半分
- Hardware
- 持ってる
- ことができます
- こちら
- ヒット
- お家の掃除
- しかしながら
- HTTPS
- 識別する
- 識別する
- 画像
- 改善
- in
- 含ま
- 増える
- 増加した
- の増加
- インド
- 個人
- インフォグラフィック
- 情報
- インフラ関連事業
- 固有の
- インサイダー
- インスタント
- インテリジェント-
- インベントリー
- 発行済み
- IT
- ITS
- 1月
- ジャンプした
- キー
- 既知の
- 大
- より大きい
- 最大の
- 姓
- Legacy
- レベル
- ライブラリ
- 図書館
- ライセンス
- linuxの
- linux foundation
- リスト
- リストされた
- より長いです
- (株)
- 大多数
- make
- 管理します
- 管理
- 管理する
- 委任
- 一致
- 材料
- 措置
- メディア
- 大会
- 百万
- 何百万
- 省
- 軽減する
- 緩和
- モジュール
- 他には?
- もっと効率的
- 最も
- 国
- 国民
- 国連
- ナチュラル
- 必要
- 必要
- ネットワーク
- ネットワーク
- 最新
- ニュース
- ノート
- 数
- 観察する
- 廃止された
- of
- 提供
- オファー
- Office
- on
- ONE
- オンライン
- オープンソース
- オープンソースコード
- オプション
- 注文
- 組織
- 組織
- 部
- 期間
- ピース
- 計画されました
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポーランド
- 潜在的な
- プライベート
- 民間企業
- 先を見越した
- プロセス
- ラボレーション
- プロダクト
- 製品
- 演奏曲目
- 所有権
- 守る
- 保護
- 提供します
- 提供
- 公表
- 出版社
- 出版社
- すぐに
- 読む
- 認識
- 減らします
- の関係
- レポート
- 各種レポート作成
- の提出が必要です
- 必要
- 結果
- リヒター
- リスク
- リスク
- ラン
- ランニング
- s
- 同じ
- Save
- 言う
- 二番
- セクター
- セキュリティ
- セキュリティリスク
- 9月
- 仕える
- 著しく
- 急騰します
- 社会
- ソーシャルメディア
- ソフトウェア
- ソフトウェア開発者
- ソリューション
- 一部
- ソース
- 過ごす
- 標準
- 滞在
- 戦略
- ストライキ
- 構造
- 構造化された
- 奮闘
- 供給
- サプライチェーン
- サプライチェーンマネジメント
- サポート
- サポート
- サポート
- システム
- 取得
- テクノロジー
- 電気通信
- それ
- アプリ環境に合わせて
- それら
- ボーマン
- 三
- 時間
- 〜へ
- 今日の
- ツール
- 豊富なツール群
- top
- 1兆
- 私達
- アメリカ政府
- わかる
- ユニーク
- 最新
- 更新版
- us
- つかいます
- 広大な
- ビザ
- 視認性
- 訪問
- 脆弱性
- 脆弱性
- 脆弱な
- 戦争
- ワルシャワ
- この試験は
- 何ですか
- かどうか
- which
- 白
- ホワイトハウス
- 誰
- 意志
- 以内
- 世界の
- でしょう
- 年
- You
- ゼファーネット
- ZOO