Rządowe zestawienie komponentów oprogramowania (SBOM) jest częścią…

SBOM są bez znaczenia, chyba że są częścią większej strategii, która identyfikuje zagrożenia i słabe punkty w całym systemie zarządzania łańcuchem dostaw oprogramowania.

RIEGELSVILLE, Pensylwania (PRWEB) 13 marca 2023 r.

Liczba cyberataków przeprowadzonych na sektory rządowe na całym świecie wzrosła o 95% w drugiej połowie 2022 r. w porównaniu z tym samym okresem w 2021 r.(1) Oczekuje się, że globalny koszt cyberataków wzrośnie wykładniczo z 8.44 bln USD w 2022 r. do 23.84 bln USD do 2027 r. 2.(14028) Aby wesprzeć krajową infrastrukturę krytyczną i sieci rządu federalnego, Biały Dom wydał w maju 2021 r. rozporządzenie wykonawcze 3 „Poprawa bezpieczeństwa cybernetycznego kraju”. (XNUMX) EO określa środki bezpieczeństwa, których musi przestrzegać każde oprogramowanie wydawca lub programista, który prowadzi interesy z rządem federalnym. Jeden z tych środków wymaga od wszystkich twórców oprogramowania dostarczenia listy materiałów oprogramowania (SBOM), kompletnej listy inwentaryzacyjnej komponentów i bibliotek, które składają się na aplikację. Walt Szablowski, założyciel i prezes wykonawczy wymazany, która od ponad dwudziestu lat zapewnia pełny wgląd w sieci swoich dużych klientów korporacyjnych, zauważa: „SBOM są bez znaczenia, jeśli nie są częścią większej strategii, która identyfikuje zagrożenia i słabe punkty w całym systemie zarządzania łańcuchem dostaw oprogramowania”.

Narodowa Administracja Telekomunikacji i Informacji (NTIA) definiuje zestawienie materiałów oprogramowania jako „kompletną, formalnie ustrukturyzowaną listę komponentów, bibliotek i modułów wymaganych do zbudowania danego oprogramowania oraz relacji między nimi w łańcuchu dostaw”. 4) Stany Zjednoczone są szczególnie narażone na cyberataki, ponieważ znaczna część ich infrastruktury jest kontrolowana przez prywatne firmy, które mogą nie być wyposażone w poziom bezpieczeństwa niezbędny do udaremnienia ataku.(5) Główną zaletą SBOM jest to, że umożliwiają one organizacjom identyfikację czy którykolwiek z komponentów składających się na aplikację może mieć lukę, która może stworzyć zagrożenie dla bezpieczeństwa.

Podczas gdy amerykańskie agencje rządowe zostaną upoważnione do przyjęcia SBOM, firmy komercyjne z pewnością skorzystałyby na tym dodatkowym poziomie bezpieczeństwa. W 2022 r. średni koszt naruszenia bezpieczeństwa danych w Stanach Zjednoczonych wynosił 9.44 mln USD, a średnia globalna 4.35 mln USD.(6) Według raportu Government Accountability Office (GAO), rząd federalny zarządza trzema starszymi systemami technologicznymi pięć dekad. GAO ostrzegło, że te przestarzałe systemy zwiększają luki w zabezpieczeniach i często działają na sprzęcie i oprogramowaniu, które nie są już obsługiwane.(7)

Szablowski wyjaśnia: „Są dwa kluczowe aspekty, którymi każda organizacja będzie musiała się zająć podczas korzystania z SBOM. Po pierwsze, muszą mieć narzędzie, które może szybko odczytać wszystkie szczegóły w SBOM, dopasować wyniki do znanych danych o lukach w zabezpieczeniach i zapewnić wstępne raportowanie. Po drugie, muszą być w stanie ustanowić zautomatyzowany, proaktywny proces, aby być na bieżąco z działaniami związanymi z SBOM oraz wszystkimi unikalnymi opcjami i procesami łagodzenia skutków dla każdego komponentu lub aplikacji”.

Najnowocześniejszy moduł Intelligent Cybersecurity Platform (ICSP)™ firmy Eracent do zarządzania ryzykiem w łańcuchu dostaw cybernetycznych (C-SCRM) jest wyjątkowy, ponieważ obsługuje oba te aspekty, zapewniając dodatkowy, krytyczny poziom ochrony w celu zminimalizowania zagrożeń bezpieczeństwa związanych z oprogramowaniem. Jest to niezbędne przy inicjowaniu proaktywnego, zautomatyzowanego programu SBOM. ICSP C-SCRM oferuje wszechstronną ochronę z natychmiastowym wglądem w celu złagodzenia wszelkich luk w zabezpieczeniach na poziomie komponentów. Rozpoznaje przestarzałe komponenty, które również mogą zwiększać zagrożenie bezpieczeństwa. Proces automatycznie odczytuje wyszczególnione szczegóły w SBOM i dopasowuje każdy wymieniony komponent do najbardziej aktualnych danych o lukach w zabezpieczeniach, korzystając z biblioteki IT-Pedia® IT Product Data Library firmy Eracent — pojedynczego, wiarygodnego źródła niezbędnych danych dotyczących milionów sprzętu IT i produktów oprogramowania”.

Zdecydowana większość aplikacji komercyjnych i niestandardowych zawiera kod typu open source. Standardowe narzędzia do analizy luk w zabezpieczeniach nie analizują poszczególnych komponentów open source w aplikacjach. Jednak każdy z tych komponentów może zawierać luki w zabezpieczeniach lub przestarzałe komponenty, zwiększając podatność oprogramowania na naruszenia bezpieczeństwa cybernetycznego. Szablowski zauważa: „Większość narzędzi pozwala tworzyć lub analizować SBOM, ale nie stosują one skonsolidowanego, proaktywnego podejścia do zarządzania — struktury, automatyzacji i raportowania. Firmy muszą rozumieć zagrożenia, które mogą istnieć w oprogramowaniu, którego używają, niezależnie od tego, czy jest to oprogramowanie typu open source, czy zastrzeżone. A wydawcy oprogramowania muszą rozumieć potencjalne ryzyko związane z oferowanymi przez nich produktami. Organizacje muszą wzmocnić swoje cyberbezpieczeństwo dzięki zwiększonemu poziomowi ochrony, jaki zapewnia system ICSP C-SCRM firmy Eracent”.

O Eracent

Walt Szablowski jest założycielem i prezesem wykonawczym Eracent oraz prezesem spółek zależnych Eracent (Eracent SP ZOO, Warszawa, Polska; Eracent Private LTD w Bangalore w Indiach oraz Eracent Brazil). Eracent pomaga swoim klientom sprostać wyzwaniom związanym z zarządzaniem zasobami sieci IT, licencjami na oprogramowanie i cyberbezpieczeństwem w dzisiejszych złożonych i ewoluujących środowiskach IT. Klienci korporacyjni firmy Eracent znacznie oszczędzają na rocznych wydatkach na oprogramowanie, zmniejszają ryzyko związane z audytem i bezpieczeństwem oraz ustanawiają wydajniejsze procesy zarządzania zasobami. Baza klientów Eracent obejmuje jedne z największych na świecie sieci korporacyjnych i rządowych oraz środowiska IT — USPS, VISA, US Air Force, brytyjskie Ministerstwo Obrony — a dziesiątki firm z listy Fortune 500 polegają na rozwiązaniach Eracent do zarządzania i ochrony swoich sieci. Odwiedzać https://eracent.com/. 

Referencje:
1) Venkat, A. (2023, 4 stycznia). Cyberataki na rządy wzrosły o 95% w drugiej połowie 2022 r., mówi Cloudsek. CSO Online. Pobrano 23 lutego 2023 r. z witryny csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek mówi.html#:~:text=The%20number%20of %20ataki%20kierowanie,AI%2Doparte%20cyberbezpieczeństwo%20firma%20CloudSek
2) Fleck, A., Richter, F. (2022, 2 grudnia). Infografika: Przewiduje się, że w nadchodzących latach cyberprzestępczość gwałtownie wzrośnie. Infografiki Statisty. Pobrano 23 lutego 2023 r. z statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=According%20to%20estimates%20from%20Statista's,to%20%2423.84%20trillion %20o%202027
3) Zarządzenie wykonawcze w sprawie poprawy cyberbezpieczeństwa państwa. Agencja Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury CISA. (nd). Pobrano 23 lutego 2023 r. z cisa.gov/executive-order-improving-nations-cybersecurity
4) Fundacja Linuksa. (2022, 13 września). Co to jest SBOM? Fundacja Linuksa. Pobrano 23 lutego 2023 r. z linuxfoundation.org/blog/blog/what-is-an-sbom
5) Christofaro, B. (nd). Cyberataki to najnowsza granica wojny i mogą uderzyć mocniej niż klęska żywiołowa. oto dlaczego Stany Zjednoczone mogą mieć trudności z radzeniem sobie, jeśli zostaną uderzone. Informator biznesowy. Pobrano 23 lutego 2023 r. z businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) Opublikowane przez Ani Petrosyan, 4, S. (2022, 4 września). Koszt naruszenia danych w USA 2022. Statista. Pobrano 23 lutego 2023 r. z statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/
7) Malone, K. (2021, 30 kwietnia). Rząd federalny korzysta z 50-letniej technologii – bez planowanych aktualizacji. Nurkowanie CIO. Pobrano 23 lutego 2023 r. z ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/

Udostępnij artykuł w mediach społecznościowych lub e-mailu: