Het mandaat van de overheid voor Software Bill of Materials (SBOM) maakt deel uit van ...

SBOM's zijn zinloos, tenzij ze deel uitmaken van een grotere strategie die risico's en kwetsbaarheden in het software supply chain managementsysteem identificeert.

RIEGELSVILLE, Pennsylvania (PRWEB) 13 maart 2023

Het aantal cyberaanvallen tegen overheidssectoren wereldwijd is in de tweede helft van 95 met 2022% gestegen in vergelijking met dezelfde periode in 2021.(1) De wereldwijde kosten van cyberaanvallen zullen naar verwachting exponentieel stijgen van 8.44 biljoen dollar in 2022 tot 23.84 biljoen dollar tegen 2027.(2) Om de kritieke infrastructuur en netwerken van de federale overheid van het land te ondersteunen, heeft het Witte Huis in mei 14028 Executive Order 2021, "Improving the Nation's Cybersecurity" uitgevaardigd.(3) De EO definieert de beveiligingsmaatregelen die moeten worden gevolgd door alle software uitgever of ontwikkelaar die zaken doet met de federale overheid. Een van deze maatregelen vereist dat alle softwareontwikkelaars een Software Bill of Materials (SBOM) verstrekken, een volledige inventarislijst van componenten en bibliotheken waaruit een softwaretoepassing bestaat. Walt Szablowski, oprichter en uitvoerend voorzitter van Eracent, dat al meer dan twee decennia volledig inzicht geeft in de netwerken van zijn grote zakelijke klanten, merkt op: "SBOM's zijn zinloos tenzij ze deel uitmaken van een grotere strategie die risico's en kwetsbaarheden in het software supply chain managementsysteem identificeert."

De National Telecommunications and Information Administration (NTIA) definieert een Software Bill of Materials als "een complete, formeel gestructureerde lijst van componenten, bibliotheken en modules die nodig zijn om een ​​bepaald stuk software en de supply chain-relaties daartussen te bouwen."( 4) De VS zijn bijzonder kwetsbaar voor cyberaanvallen omdat een groot deel van hun infrastructuur wordt beheerd door particuliere bedrijven die mogelijk niet zijn uitgerust met het beveiligingsniveau dat nodig is om een ​​aanval te dwarsbomen.(5) Het belangrijkste voordeel van SBOM's is dat ze organisaties in staat stellen om of een van de componenten waaruit een softwaretoepassing bestaat, een kwetsbaarheid heeft die een beveiligingsrisico kan vormen.

Hoewel Amerikaanse overheidsinstanties het mandaat krijgen om SBOM's te gebruiken, zouden commerciële bedrijven duidelijk baat hebben bij dit extra beveiligingsniveau. Vanaf 2022 bedragen de gemiddelde kosten van een datalek in de VS 9.44 miljoen dollar, met een wereldwijd gemiddelde van 4.35 miljoen dollar.(6) Volgens een rapport van het Government Accountability Office (GAO) beheert de federale overheid drie oude technologiesystemen die teruggaan vijf decennia. De GAO waarschuwde dat deze verouderde systemen beveiligingskwetsbaarheden vergroten en vaak draaien op hardware en software die niet langer wordt ondersteund.(7)

Szablowski legt uit: “Er zijn twee belangrijke aspecten waarmee elke organisatie rekening moet houden bij het gebruik van SBOM's. Ten eerste moeten ze een tool hebben die snel alle details in een SBOM kan lezen, de resultaten kan matchen met bekende kwetsbaarheidsgegevens en heads-up rapportage kan bieden. Ten tweede moeten ze in staat zijn om een ​​geautomatiseerd, proactief proces op te zetten om op de hoogte te blijven van SBOM-gerelateerde activiteiten en alle unieke mitigatieopties en -processen voor elk onderdeel of elke softwaretoepassing.”

Eracent's geavanceerde Intelligent Cybersecurity Platform (ICSP)™ Cyber ​​Supply Chain Risk Management™ (C-SCRM) module is uniek omdat het beide aspecten ondersteunt om een ​​extra, kritiek niveau van bescherming te bieden om op software gebaseerde beveiligingsrisico's te minimaliseren. Dit is essentieel bij het initiëren van een proactief, geautomatiseerd SBOM-programma. De ICSP C-SCRM biedt uitgebreide bescherming met onmiddellijke zichtbaarheid om eventuele kwetsbaarheden op componentniveau te verminderen. Het herkent verouderde componenten die ook het beveiligingsrisico kunnen vergroten. Het proces leest automatisch de gespecificeerde details in de SBOM en koppelt elke vermelde component aan de meest up-to-date kwetsbaarheidsgegevens met behulp van Eracent's IT-Pedia® IT Product Data Library — een enkele, gezaghebbende bron voor essentiële gegevens over miljoenen IT-hardware en softwareproducten.”

De overgrote meerderheid van commerciële en aangepaste toepassingen bevat open-sourcecode. Standaard tools voor kwetsbaarheidsanalyse onderzoeken geen afzonderlijke open-sourcecomponenten binnen applicaties. Elk van deze componenten kan echter kwetsbaarheden of verouderde componenten bevatten, waardoor software vatbaarder wordt voor inbreuken op de cyberbeveiliging. Szablowski merkt op: “Met de meeste tools kun je SBOM's maken of analyseren, maar ze hanteren geen geconsolideerde, proactieve beheerbenadering — structuur, automatisering en rapportage. Bedrijven moeten de risico's begrijpen die kunnen bestaan ​​in de software die ze gebruiken, of dit nu open-source of propriëtair is. En software-uitgevers moeten de potentiële risico's begrijpen die inherent zijn aan de producten die ze aanbieden. Organisaties moeten hun cyberbeveiliging versterken met het verbeterde beschermingsniveau dat het ICSP C-SCRM-systeem van Eracent biedt.”

Over Eracent

Walt Szablowski is de oprichter en uitvoerend voorzitter van Eracent en fungeert als voorzitter van de dochterondernemingen van Eracent (Eracent SP ZOO, Warschau, Polen; Eracent Private LTD in Bangalore, India; en Eracent Brazilië). Eracent helpt haar klanten de uitdagingen aan te gaan van het beheer van IT-netwerkactiva, softwarelicenties en cyberbeveiliging in de huidige complexe en evoluerende IT-omgevingen. De zakelijke klanten van Eracent besparen aanzienlijk op hun jaarlijkse software-uitgaven, verminderen hun audit- en beveiligingsrisico's en stellen efficiëntere activabeheerprocessen in. Het klantenbestand van Eracent omvat enkele van 's werelds grootste bedrijfs- en overheidsnetwerken en IT-omgevingen - de USPS, VISA, US Airforce, het Britse Ministerie van Defensie - en tientallen Fortune 500-bedrijven vertrouwen op Eracent-oplossingen om hun netwerken te beheren en te beschermen. Bezoek https://eracent.com/. 

Referenties:
1) Venkat, A. (2023, 4 januari). Cyberaanvallen tegen regeringen zijn in de laatste helft van 95 met 2022% gestegen, zegt Cloudsek. CSO online. Opgehaald op 23 februari 2023 van csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek zegt.html#:~:text=The%20number%20of %20aanvallen%20targeting,AI%2Dgebaseerd%20cyberbeveiliging%20bedrijf%20CloudSek
2) Fleck, A., Richter, F. (2022, 2 december). Infographic: Cybercriminaliteit zal naar verwachting de komende jaren omhoogschieten. Statistische infographics. Opgehaald op 23 februari 2023 van statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=According%20to%20estimates%20from%20Statista's,to%20%2423.84%20trillion %20door%202027
3) Uitvoerend bevel om de cyberbeveiliging van het land te verbeteren. Agentschap voor cyberbeveiliging en infrastructuurbeveiliging CISA. (zn). Opgehaald op 23 februari 2023 van cisa.gov/executive-order-improving-nations-cybersecurity
4) De Linux-stichting. (2022, 13 september). Wat is een SBOM? Linux Stichting. Opgehaald op 23 februari 2023, van linuxfoundation.org/blog/blog/what-is-an-sbom
5) Christofaro, B. (nd). Cyberaanvallen vormen de nieuwste oorlogsgrens en kunnen harder toeslaan dan een natuurramp. dit is waarom de VS moeite zouden kunnen hebben om het hoofd te bieden als het werd geraakt. Business insider. Op 23 februari 2023 opgehaald van businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) Uitgegeven door Ani Petrosyan, 4, S. (2022, 4 september). Kosten van een datalek in de VS 2022. Statista. Opgehaald op 23 februari 2023 van statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/
7) Malone, K. (2021, 30 april). De federale overheid gebruikt 50 jaar oude technologie – zonder geplande updates. CIO-duik. Opgehaald op 23 februari 2023 van ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/

Deel artikel op sociale media of e-mail: