정부의 소프트웨어 명세서(SBOM) 명령은…

SBOM은 소프트웨어 공급망 관리 시스템 전반에 걸쳐 위험과 취약점을 식별하는 더 큰 전략의 일부가 아닌 이상 의미가 없습니다.

리겔스빌, 펜실베니아 (PRWEB) 2023 년 3 월 13 일

전 세계적으로 정부 부문을 대상으로 행해진 사이버 공격의 수는 95년 같은 기간에 비해 2022년 하반기에 2021% 증가했습니다.(1) 사이버 공격의 전 세계 비용은 8.44년 2022조 23.84억 달러에서 2027년 2조 14028억 달러로 기하급수적으로 증가할 것으로 예상됩니다. 2021.(3) 국가의 중요 인프라와 연방 정부 네트워크를 지원하기 위해 백악관은 XNUMX년 XNUMX월 행정 명령 XNUMX, "국가의 사이버 보안 개선"을 발표했습니다.(XNUMX) EO는 모든 소프트웨어가 따라야 하는 보안 조치를 정의합니다. 연방 정부와 사업을 하는 출판사 또는 개발자. 이러한 조치 중 하나는 모든 소프트웨어 개발자가 소프트웨어 애플리케이션을 구성하는 구성 요소 및 라이브러리의 전체 재고 목록인 소프트웨어 자재 명세서(SBOM)를 제공하도록 요구합니다. Walt Szablowski, 창립자 겸 회장 에라센트XNUMX년 넘게 대기업 고객의 네트워크에 대한 완벽한 가시성을 제공해 온 는 "SBOM은 소프트웨어 공급망 관리 시스템 전반에 걸쳐 위험과 취약점을 식별하는 더 큰 전략의 일부가 아닌 이상 의미가 없습니다."라고 말합니다.

NTIA(National Telecommunications and Information Administration)는 소프트웨어 BOM을 "주어진 소프트웨어와 이들 간의 공급망 관계를 구축하는 데 필요한 구성 요소, 라이브러리 및 모듈의 완전하고 공식적으로 구조화된 목록"으로 정의합니다.( 4) 미국은 인프라의 대부분이 공격을 저지하는 데 필요한 보안 수준을 갖추고 있지 않은 민간 기업에 의해 통제되기 때문에 사이버 공격에 특히 취약합니다.(5) SBOM의 주요 이점은 조직이 식별할 수 있다는 것입니다. 소프트웨어 애플리케이션을 구성하는 구성 요소에 보안 위험을 초래할 수 있는 취약성이 있는지 여부.

미국 정부 기관은 SBOM을 채택하도록 의무화되지만, 상업 회사는 이러한 추가 보안 수준의 이점을 분명히 누릴 것입니다. 2022년을 기준으로 미국 내 데이터 침해 평균 비용은 9.44만 달러이며, 전 세계 평균 비용은 4.35만 달러입니다.(6) GAO(정부 회계 감사원) 보고서에 따르면 연방 정부는 과거 7가지 레거시 기술 시스템을 실행하고 있습니다. XNUMX년. GAO는 이러한 오래된 시스템으로 인해 보안 취약성이 증가하고 더 이상 지원되지 않는 하드웨어 및 소프트웨어에서 자주 실행된다고 경고했습니다.(XNUMX)

Szablowski는 “모든 조직이 SBOM을 사용할 때 해결해야 할 두 가지 주요 측면이 있습니다. 첫째, SBOM의 모든 세부 정보를 신속하게 읽고, 그 결과를 알려진 취약성 데이터와 일치시키고, 사전 보고를 제공할 수 있는 도구가 있어야 합니다. 둘째, SBOM 관련 활동과 각 구성 요소 또는 소프트웨어 애플리케이션에 대한 모든 고유한 완화 옵션 및 프로세스를 파악하기 위해 자동화되고 사전 예방적인 프로세스를 구축할 수 있어야 합니다."

Eracent의 최첨단 지능형 사이버 보안 플랫폼(ICSP)™ 사이버 공급망 위험 관리™(C-SCRM) 모듈 소프트웨어 기반 보안 위험을 최소화하기 위해 추가적이고 중요한 수준의 보호를 제공하기 위해 이러한 측면을 모두 지원한다는 점에서 독특합니다. 이는 사전 예방적이고 자동화된 SBOM 프로그램을 시작할 때 필수적입니다. ICSP C-SCRM은 구성 요소 수준의 취약점을 완화하기 위한 즉각적인 가시성과 함께 포괄적인 보호 기능을 제공합니다. 보안 위험을 증가시킬 수도 있는 오래된 구성 요소를 인식합니다. 이 프로세스는 SBOM 내의 항목별 세부 정보를 자동으로 읽고, 나열된 각 구성 요소를 수백만 개의 IT 하드웨어와 관련된 필수 데이터에 대한 신뢰할 수 있는 단일 소스인 Eracent의 IT-Pedia® IT 제품 데이터 라이브러리를 사용하여 최신 취약성 데이터와 일치시킵니다. 소프트웨어 제품.”

대부분의 상용 및 맞춤형 애플리케이션에는 오픈 소스 코드가 포함되어 있습니다. 표준 취약성 분석 도구는 애플리케이션 내의 개별 오픈 소스 구성 요소를 면밀히 조사하지 않습니다. 그러나 이러한 구성 요소 중 하나라도 취약성이나 오래된 구성 요소를 포함할 수 있어 사이버 보안 침해에 대한 소프트웨어 취약성이 높아질 수 있습니다. Szablowski는 “대부분의 도구를 사용하면 SBOM을 생성하거나 분석할 수 있지만 구조, 자동화, 보고 등 통합되고 사전 예방적인 관리 접근 방식을 취하지 않습니다. 기업은 오픈 소스이든 독점이든 관계없이 사용하는 소프트웨어에 존재할 수 있는 위험을 이해해야 합니다. 그리고 소프트웨어 게시자는 자신이 제공하는 제품에 내재된 잠재적인 위험을 이해해야 합니다. 조직은 Eracent의 ICSP C-SCRM 시스템이 제공하는 향상된 보호 수준을 통해 사이버 보안을 강화해야 합니다.”

에라센트 소개

Walt Szablowski는 Eracent의 창립자이자 회장이며 Eracent 자회사(폴란드 바르샤바의 Eracent SP ZOO, 인도 방갈로르의 Eracent Private LTD 및 브라질 Eracent)의 회장직을 맡고 있습니다. Eracent는 고객이 오늘날의 복잡하고 발전하는 IT 환경에서 IT 네트워크 자산, 소프트웨어 라이선스 및 사이버 보안을 관리하는 과제를 해결할 수 있도록 지원합니다. Eracent의 기업 고객은 연간 소프트웨어 지출을 크게 절감하고 감사 및 보안 위험을 줄이며 보다 효율적인 자산 관리 프로세스를 구축합니다. Eracent의 클라이언트 기반에는 USPS, VISA, 미 공군, 영국 국방부 등 세계 최대 기업 및 정부 네트워크와 IT 환경이 포함되어 있으며 수십 개의 Fortune 500대 기업이 Eracent 솔루션을 사용하여 네트워크를 관리하고 보호하고 있습니다. 방문하다 https://eracent.com/. 

참조 :
1) Venkat, A.(2023년 4월 95일). Cloudsek에 따르면 정부를 대상으로 한 사이버 공격은 2022년 하반기에 23% 증가했습니다. CSO 온라인. 2023년 3684668월 95일에 검색됨, csoonline.com/article/2022/cyberattacks-against-governments-jumped-20-in-last-half-of-20-cloudsek say.html#:~:text=The%20number%20of %2공격%20타겟팅,AI%20D기반%20사이버보안%XNUMX회사%XNUMXCloudSek
2) Fleck, A., Richter, F.(2022년 2월 23일). 인포그래픽: 사이버 범죄는 앞으로 몇 년 안에 급증할 것으로 예상됩니다. 스타티스타 인포그래픽. 2023년 28878월 2027일에 검색됨, statista.com/chart/20/expected-cost-of-cybercrime-until-20/#:~:text=%20to%20estimates%20from%2423.84Statista's,to%20%20%202027trillion %XNUMXby%XNUMX
3) 국가 사이버 보안 개선에 관한 행정 명령. 사이버 보안 및 인프라 보안 기관 CISA. (nd). 23년 2023월 XNUMX일 cisa.gov/executive-order-improving-nations-cybersecurity에서 검색함
4) 리눅스 재단. (2022년 13월 23일). SBOM이란 무엇입니까? 리눅스 재단. 2023년 XNUMX월 XNUMX일 linuxfoundation.org/blog/blog/what-is-an-sbom에서 검색함
5) 크리스토파로, B. (nd). 사이버 공격은 전쟁의 새로운 개척지이며 자연 재해보다 더 큰 타격을 줄 수 있습니다. 이것이 미국이 공격을 당할 경우 대처하기 위해 고군분투할 수 있는 이유입니다. 비즈니스 인사이더. 23년 2023월 2019일에 검색함, businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-4-XNUMX
6) Ani Petrosyan 발행, 4, S.(2022년 4월 2022일). 미국의 데이터 유출 비용 23. Statista. 2023년 273575월 XNUMX일 statista.com/statistics/XNUMX/us-average-cost-incurred-by-a-data-breach/에서 검색함
7) Malone, K.(2021년 30월 50일). 연방 정부는 업데이트 계획 없이 23년 된 기술을 실행하고 있습니다. CIO 다이브. 2023년 599375월 XNUMX일 ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/XNUMX/에서 검색함

소셜 미디어 또는 이메일에 기사 공유 :