Regjeringens Mandat for Software Bill of Materials (SBOM) er en del av...

Regjeringens Mandat for Software Bill of Materials (SBOM) er en del av...

Tidsstempel: 12. mars 2023 8:00
Nyhetsbilde

SBOM-er er meningsløse med mindre de er en del av en større strategi som identifiserer risikoer og sårbarheter på tvers av programvareforsyningskjeden.

RIEGELSVILLE, PA (PRWEB) Mars 13, 2023

Antall nettangrep utført mot offentlige sektorer over hele verden økte med 95 % i andre halvdel av 2022 sammenlignet med samme tidsperiode i 2021.(1) De globale kostnadene for nettangrep forventes å vokse eksponentielt fra 8.44 billioner dollar i 2022 til 23.84 trillioner dollar med 2027.(2) For å støtte nasjonens kritiske infrastruktur og føderale regjeringsnettverk utstedte Det hvite hus Executive Order 14028, "Improving the Nation's Cybersecurity" i mai 2021.(3) EO definerer sikkerhetstiltakene som må følges av programvare utgiver eller utvikler som gjør forretninger med den føderale regjeringen. Ett av disse tiltakene krever at alle programvareutviklere leverer en Software Bill of Materials (SBOM), en fullstendig inventarliste over komponenter og biblioteker som utgjør en programvareapplikasjon. Walt Szablowski, grunnlegger og administrerende styreleder i Eracent, som har gitt fullstendig innsyn i sine store bedriftskunders nettverk i over to tiår, observerer, "SBOM-er er meningsløse med mindre de er en del av en større strategi som identifiserer risikoer og sårbarheter på tvers av programvareforsyningskjeden."

National Telecommunications and Information Administration (NTIA) definerer en programvareliste som "en komplett, formelt strukturert liste over komponenter, biblioteker og moduler som kreves for å bygge et gitt stykke programvare og forsyningskjedeforholdet mellom dem."( 4) USA er spesielt sårbart for nettangrep fordi mye av infrastrukturen er kontrollert av private selskaper som kanskje ikke er utstyrt med det sikkerhetsnivået som er nødvendig for å hindre et angrep.(5) Den viktigste fordelen med SBOM-er er at de gjør det mulig for organisasjoner å identifisere om noen av komponentene som utgjør en programvareapplikasjon kan ha en sårbarhet som kan skape en sikkerhetsrisiko.

Mens amerikanske offentlige etater vil få mandat til å ta i bruk SBOM-er, vil kommersielle selskaper helt klart dra nytte av dette ekstra sikkerhetsnivået. Fra og med 2022 er gjennomsnittskostnaden for et datainnbrudd i USA $9.44 millioner, med et globalt gjennomsnitt på $4.35 millioner.(6) I følge en rapport fra Government Accountability Office (GAO) driver den føderale regjeringen tre eldre teknologisystemer som dateres tilbake fem tiår. GAO advarte om at disse utdaterte systemene øker sikkerhetssårbarhetene og kjører ofte på maskinvare og programvare som ikke lenger støttes.(7)

Szablowski forklarer, "Det er to nøkkelaspekter som hver organisasjon må forholde seg til når de bruker SBOM-er. For det første må de ha et verktøy som raskt kan lese alle detaljene i en SBOM, matche resultatene med kjente sårbarhetsdata og gi heads-up-rapportering. For det andre må de være i stand til å etablere en automatisert, proaktiv prosess for å holde seg på toppen av SBOM-relatert aktivitet og alle de unike avbøtende alternativene og prosessene for hver komponent eller programvareapplikasjon."

Eracents banebrytende Intelligent Cybersecurity Platform (ICSP)™ Cyber ​​Supply Chain Risk Management™ (C-SCRM)-modul er unik ved at den støtter begge disse aspektene for å gi et ekstra, kritisk nivå av beskyttelse for å minimere programvarebaserte sikkerhetsrisikoer. Dette er viktig når du starter et proaktivt, automatisert SBOM-program. ICSP C-SCRM tilbyr omfattende beskyttelse med umiddelbar synlighet for å redusere eventuelle sårbarheter på komponentnivå. Den gjenkjenner foreldede komponenter som også kan øke sikkerhetsrisikoen. Prosessen leser automatisk de spesifiserte detaljene i SBOM og matcher hver listet komponent til de mest oppdaterte sårbarhetsdataene ved å bruke Eracents IT-Pedia® IT Product Data Library – en enkelt, autoritativ kilde for viktige data om millioner av IT-maskinvare og programvareprodukter."

Et stort flertall av kommersielle og tilpassede applikasjoner inneholder åpen kildekode. Standard sårbarhetsanalyseverktøy undersøker ikke individuelle åpen kildekodekomponenter i applikasjoner. En hvilken som helst av disse komponentene kan imidlertid inneholde sårbarheter eller foreldede komponenter, noe som øker programvarens mottakelighet for brudd på nettsikkerheten. Szablowski bemerker: "De fleste verktøy lar deg lage eller analysere SBOM-er, men de tar ikke en konsolidert, proaktiv ledelsestilnærming - struktur, automatisering og rapportering. Bedrifter må forstå risikoene som kan eksistere i programvaren de bruker, enten åpen kildekode eller proprietær. Og programvareutgivere må forstå de potensielle risikoene som ligger i produktene de tilbyr. Organisasjoner må styrke cybersikkerheten sin med det forbedrede beskyttelsesnivået Eracents ICSP C-SCRM-system gir."

Om Eracent

Walt Szablowski er grunnlegger og administrerende styreleder i Eracent og fungerer som styreleder for Eracents datterselskaper (Eracent SP ZOO, Warszawa, Polen; Eracent Private LTD i Bangalore, India; og Eracent Brasil). Eracent hjelper kundene sine med å møte utfordringene med å administrere IT-nettverksressurser, programvarelisenser og cybersikkerhet i dagens komplekse og utviklende IT-miljøer. Eracents bedriftskunder sparer betydelig på sine årlige programvareutgifter, reduserer revisjons- og sikkerhetsrisikoer og etablerer mer effektive prosesser for aktivaforvaltning. Eracents kundebase inkluderer noen av verdens største bedrifts- og regjeringsnettverk og IT-miljøer – USPS, VISA, US Airforce, British Defense Ministry – og dusinvis av Fortune 500-selskaper er avhengige av Eracent-løsninger for å administrere og beskytte nettverkene sine. Besøk https://eracent.com/. 

Referanser:
1) Venkat, A. (2023, 4. januar). Cyberangrep mot regjeringer økte med 95 % i siste halvdel av 2022, sier Cloudsek. CSO på nett. Hentet 23. februar 2023 fra csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek says.html#:~:text=The%20number%20of %20attacks%20targeting,AI%2Dbased%20cybersecurity%20company%20CloudSek
2) Fleck, A., Richter, F. (2022, 2. desember). Infografikk: Nettkriminalitet forventes å skyte i været i årene som kommer. Statista infografikk. Hentet 23. februar 2023 fra statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=Ifølge%20to%20estimates%20from%20Statista's,to%20%2423.84%20trillion. %20 innen %202027
3) Bestilling om forbedring av nasjonens cybersikkerhet. Cybersecurity and Infrastructure Security Agency CISA. (nd). Hentet 23. februar 2023 fra cisa.gov/executive-order-improving-nations-cybersecurity
4) Linux Foundation. (2022, 13. september). Hva er en SBOM? Linux Foundation. Hentet 23. februar 2023 fra linuxfoundation.org/blog/blog/what-is-an-sbom
5) Christofaro, B. (nd). Cyberangrep er krigens nyeste grense og kan ramme hardere enn en naturkatastrofe. her er grunnen til at USA kan slite med å takle det hvis det ble truffet. Business Insider. Hentet 23. februar 2023 fra businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) Publisert av Ani Petrosyan, 4, S. (2022, 4. september). Kostnad for et datainnbrudd i USA 2022. Statista. Hentet 23. februar 2023 fra statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/
7) Malone, K. (2021, 30. april). Føderale myndigheter kjører 50 år gammel teknologi – uten planlagte oppdateringer. CIO dykk. Hentet 23. februar 2023 fra ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/

Del artikkelen på sosiale medier eller e-post:

Tidstempel:

Mer fra Datasikkerhet