SBOM są bez znaczenia, chyba że są częścią większej strategii, która identyfikuje zagrożenia i słabe punkty w całym systemie zarządzania łańcuchem dostaw oprogramowania.
RIEGELSVILLE, Pensylwania (PRWEB) 13 marca 2023 r.
Liczba cyberataków przeprowadzonych na sektory rządowe na całym świecie wzrosła o 95% w drugiej połowie 2022 r. w porównaniu z tym samym okresem w 2021 r.(1) Oczekuje się, że globalny koszt cyberataków wzrośnie wykładniczo z 8.44 bln USD w 2022 r. do 23.84 bln USD do 2027 r. 2.(14028) Aby wesprzeć krajową infrastrukturę krytyczną i sieci rządu federalnego, Biały Dom wydał w maju 2021 r. rozporządzenie wykonawcze 3 „Poprawa bezpieczeństwa cybernetycznego kraju”. (XNUMX) EO określa środki bezpieczeństwa, których musi przestrzegać każde oprogramowanie wydawca lub programista, który prowadzi interesy z rządem federalnym. Jeden z tych środków wymaga od wszystkich twórców oprogramowania dostarczenia listy materiałów oprogramowania (SBOM), kompletnej listy inwentaryzacyjnej komponentów i bibliotek, które składają się na aplikację. Walt Szablowski, założyciel i prezes wykonawczy wymazany, która od ponad dwudziestu lat zapewnia pełny wgląd w sieci swoich dużych klientów korporacyjnych, zauważa: „SBOM są bez znaczenia, jeśli nie są częścią większej strategii, która identyfikuje zagrożenia i słabe punkty w całym systemie zarządzania łańcuchem dostaw oprogramowania”.
Narodowa Administracja Telekomunikacji i Informacji (NTIA) definiuje zestawienie materiałów oprogramowania jako „kompletną, formalnie ustrukturyzowaną listę komponentów, bibliotek i modułów wymaganych do zbudowania danego oprogramowania oraz relacji między nimi w łańcuchu dostaw”. 4) Stany Zjednoczone są szczególnie narażone na cyberataki, ponieważ znaczna część ich infrastruktury jest kontrolowana przez prywatne firmy, które mogą nie być wyposażone w poziom bezpieczeństwa niezbędny do udaremnienia ataku.(5) Główną zaletą SBOM jest to, że umożliwiają one organizacjom identyfikację czy którykolwiek z komponentów składających się na aplikację może mieć lukę, która może stworzyć zagrożenie dla bezpieczeństwa.
Podczas gdy amerykańskie agencje rządowe zostaną upoważnione do przyjęcia SBOM, firmy komercyjne z pewnością skorzystałyby na tym dodatkowym poziomie bezpieczeństwa. W 2022 r. średni koszt naruszenia bezpieczeństwa danych w Stanach Zjednoczonych wynosił 9.44 mln USD, a średnia globalna 4.35 mln USD.(6) Według raportu Government Accountability Office (GAO), rząd federalny zarządza trzema starszymi systemami technologicznymi pięć dekad. GAO ostrzegło, że te przestarzałe systemy zwiększają luki w zabezpieczeniach i często działają na sprzęcie i oprogramowaniu, które nie są już obsługiwane.(7)
Szablowski wyjaśnia: „Są dwa kluczowe aspekty, którymi każda organizacja będzie musiała się zająć podczas korzystania z SBOM. Po pierwsze, muszą mieć narzędzie, które może szybko odczytać wszystkie szczegóły w SBOM, dopasować wyniki do znanych danych o lukach w zabezpieczeniach i zapewnić wstępne raportowanie. Po drugie, muszą być w stanie ustanowić zautomatyzowany, proaktywny proces, aby być na bieżąco z działaniami związanymi z SBOM oraz wszystkimi unikalnymi opcjami i procesami łagodzenia skutków dla każdego komponentu lub aplikacji”.
Najnowocześniejszy moduł Intelligent Cybersecurity Platform (ICSP)™ firmy Eracent do zarządzania ryzykiem w łańcuchu dostaw cybernetycznych (C-SCRM) jest wyjątkowy, ponieważ obsługuje oba te aspekty, zapewniając dodatkowy, krytyczny poziom ochrony w celu zminimalizowania zagrożeń bezpieczeństwa związanych z oprogramowaniem. Jest to niezbędne przy inicjowaniu proaktywnego, zautomatyzowanego programu SBOM. ICSP C-SCRM oferuje wszechstronną ochronę z natychmiastowym wglądem w celu złagodzenia wszelkich luk w zabezpieczeniach na poziomie komponentów. Rozpoznaje przestarzałe komponenty, które również mogą zwiększać zagrożenie bezpieczeństwa. Proces automatycznie odczytuje wyszczególnione szczegóły w SBOM i dopasowuje każdy wymieniony komponent do najbardziej aktualnych danych o lukach w zabezpieczeniach, korzystając z biblioteki IT-Pedia® IT Product Data Library firmy Eracent — pojedynczego, wiarygodnego źródła niezbędnych danych dotyczących milionów sprzętu IT i produktów oprogramowania”.
Zdecydowana większość aplikacji komercyjnych i niestandardowych zawiera kod typu open source. Standardowe narzędzia do analizy luk w zabezpieczeniach nie analizują poszczególnych komponentów open source w aplikacjach. Jednak każdy z tych komponentów może zawierać luki w zabezpieczeniach lub przestarzałe komponenty, zwiększając podatność oprogramowania na naruszenia bezpieczeństwa cybernetycznego. Szablowski zauważa: „Większość narzędzi pozwala tworzyć lub analizować SBOM, ale nie stosują one skonsolidowanego, proaktywnego podejścia do zarządzania — struktury, automatyzacji i raportowania. Firmy muszą rozumieć zagrożenia, które mogą istnieć w oprogramowaniu, którego używają, niezależnie od tego, czy jest to oprogramowanie typu open source, czy zastrzeżone. A wydawcy oprogramowania muszą rozumieć potencjalne ryzyko związane z oferowanymi przez nich produktami. Organizacje muszą wzmocnić swoje cyberbezpieczeństwo dzięki zwiększonemu poziomowi ochrony, jaki zapewnia system ICSP C-SCRM firmy Eracent”.
O Eracent
Walt Szablowski jest założycielem i prezesem wykonawczym Eracent oraz prezesem spółek zależnych Eracent (Eracent SP ZOO, Warszawa, Polska; Eracent Private LTD w Bangalore w Indiach oraz Eracent Brazil). Eracent pomaga swoim klientom sprostać wyzwaniom związanym z zarządzaniem zasobami sieci IT, licencjami na oprogramowanie i cyberbezpieczeństwem w dzisiejszych złożonych i ewoluujących środowiskach IT. Klienci korporacyjni firmy Eracent znacznie oszczędzają na rocznych wydatkach na oprogramowanie, zmniejszają ryzyko związane z audytem i bezpieczeństwem oraz ustanawiają wydajniejsze procesy zarządzania zasobami. Baza klientów Eracent obejmuje jedne z największych na świecie sieci korporacyjnych i rządowych oraz środowiska IT — USPS, VISA, US Air Force, brytyjskie Ministerstwo Obrony — a dziesiątki firm z listy Fortune 500 polegają na rozwiązaniach Eracent do zarządzania i ochrony swoich sieci. Odwiedzać https://eracent.com/.
Referencje:
1) Venkat, A. (2023, 4 stycznia). Cyberataki na rządy wzrosły o 95% w drugiej połowie 2022 r., mówi Cloudsek. CSO Online. Pobrano 23 lutego 2023 r. z witryny csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek mówi.html#:~:text=The%20number%20of %20ataki%20kierowanie,AI%2Doparte%20cyberbezpieczeństwo%20firma%20CloudSek
2) Fleck, A., Richter, F. (2022, 2 grudnia). Infografika: Przewiduje się, że w nadchodzących latach cyberprzestępczość gwałtownie wzrośnie. Infografiki Statisty. Pobrano 23 lutego 2023 r. z statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=According%20to%20estimates%20from%20Statista's,to%20%2423.84%20trillion %20o%202027
3) Zarządzenie wykonawcze w sprawie poprawy cyberbezpieczeństwa państwa. Agencja Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury CISA. (nd). Pobrano 23 lutego 2023 r. z cisa.gov/executive-order-improving-nations-cybersecurity
4) Fundacja Linuksa. (2022, 13 września). Co to jest SBOM? Fundacja Linuksa. Pobrano 23 lutego 2023 r. z linuxfoundation.org/blog/blog/what-is-an-sbom
5) Christofaro, B. (nd). Cyberataki to najnowsza granica wojny i mogą uderzyć mocniej niż klęska żywiołowa. oto dlaczego Stany Zjednoczone mogą mieć trudności z radzeniem sobie, jeśli zostaną uderzone. Informator biznesowy. Pobrano 23 lutego 2023 r. z businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) Opublikowane przez Ani Petrosyan, 4, S. (2022, 4 września). Koszt naruszenia danych w USA 2022. Statista. Pobrano 23 lutego 2023 r. z statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/
7) Malone, K. (2021, 30 kwietnia). Rząd federalny korzysta z 50-letniej technologii – bez planowanych aktualizacji. Nurkowanie CIO. Pobrano 23 lutego 2023 r. z ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/
Udostępnij artykuł w mediach społecznościowych lub e-mailu:
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.prweb.com/releases/the_governments_software_bill_of_materials_sbom_mandate_is_part_of_a_bigger_cybersecurity_picture/prweb19219949.htm
- :Jest
- $W GÓRĘ
- 1
- 2021
- 2022
- 2023
- 7
- 84
- 95%
- a
- Zdolny
- Stosownie
- odpowiedzialność
- w poprzek
- działalność
- Dodatkowy
- adres
- administracja
- przyjąć
- przed
- agencje
- agencja
- Wszystkie kategorie
- analiza
- w czasie rzeczywistym sprawiają,
- i
- i infrastruktura
- roczny
- Zastosowanie
- aplikacje
- podejście
- kwiecień
- SĄ
- artykuł
- AS
- aspekty
- kapitał
- zarządzanie aktywami
- Aktywa
- atakować
- Audyt
- zautomatyzowane
- automatycznie
- Automatyzacja
- średni
- z powrotem
- baza
- BE
- bo
- korzyści
- pomiędzy
- Rachunek
- Brazylia
- naruszenie
- naruszenia
- Brytyjski
- budować
- biznes
- by
- CAN
- łańcuch
- Krzesło
- przewodniczący
- wyzwania
- CIO
- wyraźnie
- klient
- klientów
- kod
- przyjście
- handlowy
- Firmy
- w porównaniu
- kompletny
- kompleks
- składnik
- składniki
- wszechstronny
- zawierać
- kontrolowanych
- Korporacyjny
- Koszty:
- mógłby
- Stwórz
- krytyczny
- Infrastruktura krytyczna
- zwyczaj
- Klientów
- pionierski nowatorski
- cyber
- cyberataki
- cyberprzestępczość
- Bezpieczeństwo cybernetyczne
- dane
- naruszenie danych
- Randki
- lat
- grudzień
- Obrona
- Definiuje
- dostarcza
- detale
- Deweloper
- deweloperzy
- katastrofa
- dziesiątki
- każdy
- wydajny
- umożliwiać
- wzmocnione
- Enterprise
- środowiska
- wyposażony
- szczególnie
- niezbędny
- zapewniają
- Każdy
- ewoluuje
- wykonawczy
- zarządzenie wykonawcze
- spodziewany
- Objaśnia
- wykładniczo
- dodatkowy
- luty
- Federalny
- Rząd federalny
- i terminów, a
- następnie
- W razie zamówieenia projektu
- Formalnie
- Majątek
- Fundacja
- założyciel
- często
- od
- Granica
- GAO
- dany
- Globalne
- Rząd
- Biuro Odpowiedzialności Rządu
- Rządowe Biuro Odpowiedzialności (GAO)
- Rządy
- Rosnąć
- Pół
- sprzęt komputerowy
- Have
- pomaga
- tutaj
- Dobranie (Hit)
- dom
- Jednak
- HTTPS
- identyfikuje
- zidentyfikować
- obraz
- poprawy
- in
- obejmuje
- Zwiększać
- wzrosła
- wzrastający
- Indie
- indywidualny
- infografika
- Informacja
- Infrastruktura
- nieodłączny
- Insider
- natychmiastowy
- Inteligentny
- inwentarz
- Wydany
- IT
- JEGO
- styczeń
- Przeskoczyłem
- Klawisz
- znany
- duży
- większe
- największym
- Nazwisko
- Dziedzictwo
- poziom
- biblioteki
- Biblioteka
- licencje
- linux
- podstawa linuksa
- Lista
- Katalogowany
- dłużej
- Ltd
- Większość
- robić
- zarządzanie
- i konserwacjami
- zarządzający
- Mandat
- Mecz
- materiały
- środków
- Media
- Poznaj nasz
- milion
- miliony
- ministerstwo
- Złagodzić
- łagodzenie
- Moduły
- jeszcze
- bardziej wydajny
- większość
- naród
- narodowy
- Narodów
- Naturalny
- niezbędny
- Potrzebować
- sieć
- sieci
- Najnowszy
- aktualności
- Uwagi
- numer
- Obserwuje
- przestarzały
- of
- oferta
- Oferty
- Biurowe
- on
- ONE
- Online
- open source
- kod open source
- Opcje
- zamówienie
- organizacja
- organizacji
- część
- okres
- kawałek
- planowany
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- Polska
- potencjał
- prywatny
- Prywatne firmy
- Proaktywne
- wygląda tak
- procesów
- Produkt
- Produkty
- Program
- własność
- chronić
- ochrona
- zapewniać
- pod warunkiem,
- opublikowany
- wydawca
- wydawcy
- szybko
- Czytaj
- rozpoznaje
- zmniejszyć
- Relacje
- raport
- Raportowanie
- wymagany
- Wymaga
- Efekt
- Richter
- Ryzyko
- ryzyko
- run
- bieganie
- s
- taki sam
- Zapisz
- mówią
- druga
- Sektory
- bezpieczeństwo
- zagrożenia bezpieczeństwa
- wrzesień
- służy
- znacznie
- pojedynczy
- rakieta
- Obserwuj Nas
- Media społecznościowe
- Tworzenie
- Software Developers
- Rozwiązania
- kilka
- Źródło
- wydać
- standard
- pobyt
- Strategia
- strajk
- Struktura
- zbudowany
- Walka
- Dostawa
- łańcuch dostaw
- zarządzanie łańcuchem dostaw
- wsparcie
- Utrzymany
- podpory
- system
- systemy
- biorąc
- Technologia
- telekomunikacja
- że
- Połączenia
- ich
- Im
- Te
- trzy
- czas
- do
- dzisiaj
- narzędzie
- narzędzia
- Top
- Trylion
- nas
- Rząd Stanów Zjednoczonych
- zrozumieć
- wyjątkowy
- nowomodny
- Nowości
- us
- posługiwać się
- Naprawiono
- wiza
- widoczność
- Odwiedzić
- Luki w zabezpieczeniach
- wrażliwość
- Wrażliwy
- wojna
- Warszawa
- Co
- Co to jest
- czy
- który
- biały
- Biały Dom
- KIM
- będzie
- w
- w ciągu
- świat
- na calym swiecie
- by
- lat
- You
- zefirnet
- ZOO