O Mandato da Lista de Materiais de Software do Governo (SBOM) faz parte de...

O Mandato da Lista de Materiais de Software do Governo (SBOM) faz parte de…

Registro de data e hora: 12 de março de 2023, 8:00
Imagem de Notícias

Os SBOMs não têm sentido, a menos que façam parte de uma estratégia maior que identifique riscos e vulnerabilidades em todo o sistema de gerenciamento da cadeia de suprimentos de software.

RIEGELSVILLE, Pensilvânia (PRWEB) 13 de março de 2023

O número de ataques cibernéticos contra setores governamentais em todo o mundo aumentou 95% no segundo semestre de 2022 em comparação com o mesmo período em 2021.(1) Espera-se que o custo global dos ataques cibernéticos cresça exponencialmente de $ 8.44 trilhões em 2022 para $ 23.84 trilhões em 2027.(2) Para apoiar a infraestrutura crítica do país e as redes do governo federal, a Casa Branca emitiu a Ordem Executiva 14028, “Melhorando a segurança cibernética da nação” em maio de 2021.(3) O EO define as medidas de segurança que devem ser seguidas por qualquer software editora ou desenvolvedora que faz negócios com o Governo Federal. Uma dessas medidas exige que todos os desenvolvedores de software forneçam uma lista de materiais de software (SBOM), uma lista de inventário completa de componentes e bibliotecas que compõem um aplicativo de software. Walt Szablowski, fundador e presidente executivo da eracent, que fornece visibilidade completa das redes de seus grandes clientes corporativos há mais de duas décadas, observa: “SBOMs não têm sentido, a menos que façam parte de uma estratégia maior que identifica riscos e vulnerabilidades em todo o sistema de gerenciamento da cadeia de suprimentos de software”.

A Administração Nacional de Telecomunicações e Informações (NTIA) define uma lista de materiais de software como “uma lista completa e formalmente estruturada de componentes, bibliotecas e módulos necessários para construir um determinado software e as relações da cadeia de suprimentos entre eles.”( 4) Os EUA são especialmente vulneráveis ​​a ataques cibernéticos porque grande parte de sua infraestrutura é controlada por empresas privadas que podem não estar equipadas com o nível de segurança necessário para impedir um ataque.(5) O principal benefício dos SBOMs é que eles permitem que as organizações identifiquem se algum dos componentes que compõem um aplicativo de software pode ter uma vulnerabilidade que pode criar um risco de segurança.

Embora as agências governamentais dos EUA sejam obrigadas a adotar SBOMs, as empresas comerciais claramente se beneficiariam desse nível extra de segurança. A partir de 2022, o custo médio de uma violação de dados nos EUA é de US$ 9.44 milhões, com uma média global de US$ 4.35 milhões.(6) De acordo com um relatório do Government Accountability Office (GAO), o governo federal administra três sistemas de tecnologia legados desde cinco décadas. O GAO alertou que esses sistemas desatualizados aumentam as vulnerabilidades de segurança e frequentemente são executados em hardware e software que não são mais suportados.(7)

Szablowski explica: “Existem dois aspectos principais que toda organização terá que abordar ao usar SBOMs. Primeiro, eles devem ter uma ferramenta que possa ler rapidamente todos os detalhes em um SBOM, combinar os resultados com dados de vulnerabilidade conhecidos e fornecer relatórios imediatos. Em segundo lugar, eles devem ser capazes de estabelecer um processo automatizado e proativo para se manter atualizado sobre as atividades relacionadas ao SBOM e todas as opções e processos exclusivos de mitigação para cada componente ou aplicativo de software.”

Módulo de última geração da Eracent Intelligent Cybersecurity Platform (ICSP)™ Cyber ​​Supply Chain Risk Management™ (C-SCRM) é o único que oferece suporte a esses dois aspectos para fornecer um nível adicional e crítico de proteção para minimizar os riscos de segurança baseados em software. Isso é essencial ao iniciar um programa SBOM proativo e automatizado. O ICSP C-SCRM oferece proteção abrangente com visibilidade instantânea para mitigar quaisquer vulnerabilidades em nível de componente. Ele reconhece componentes obsoletos que também podem aumentar o risco de segurança. O processo lê automaticamente os detalhes detalhados dentro do SBOM e compara cada componente listado com os dados de vulnerabilidade mais atualizados usando a biblioteca de dados de produtos de TI IT-Pedia® da Eracent — uma fonte única e confiável para dados essenciais sobre milhões de hardware de TI e produtos de software”.

A grande maioria dos aplicativos comerciais e personalizados contém código-fonte aberto. As ferramentas de análise de vulnerabilidade padrão não examinam componentes individuais de software livre nos aplicativos. No entanto, qualquer um desses componentes pode conter vulnerabilidades ou componentes obsoletos, aumentando a suscetibilidade do software a violações de segurança cibernética. Szablowski observa: “A maioria das ferramentas permite criar ou analisar SBOMs, mas elas não adotam uma abordagem de gerenciamento proativa e consolidada — estrutura, automação e geração de relatórios. As empresas precisam entender os riscos que podem existir no software que utilizam, seja de código aberto ou proprietário. E os editores de software precisam entender os riscos potenciais inerentes aos produtos que oferecem. As organizações precisam fortalecer sua segurança cibernética com o nível aprimorado de proteção que o sistema ICSP C-SCRM da Eracent oferece.”

Sobre a Eracent

Walt Szablowski é o fundador e presidente executivo da Eracent e atua como presidente das subsidiárias da Eracent (Eracent SP ZOO, Varsóvia, Polônia; Eracent Private LTD em Bangalore, Índia; e Eracent Brasil). A Eracent ajuda seus clientes a enfrentar os desafios de gerenciamento de ativos de rede de TI, licenças de software e segurança cibernética nos ambientes de TI complexos e em evolução de hoje. Os clientes corporativos da Eracent economizam significativamente em seus gastos anuais com software, reduzem seus riscos de auditoria e segurança e estabelecem processos de gerenciamento de ativos mais eficientes. A base de clientes da Eracent inclui algumas das maiores redes corporativas e governamentais e ambientes de TI - USPS, VISA, US Airforce, British Ministry of Defense - e dezenas de empresas da Fortune 500 confiam nas soluções da Eracent para gerenciar e proteger suas redes. Visita https://eracent.com/. 

Referências:
1) Venkat, A. (2023, 4 de janeiro). Os ataques cibernéticos contra governos aumentaram 95% no último semestre de 2022, diz Cloudsek. CSO Online. Recuperado em 23 de fevereiro de 2023, de csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek says.html#:~:text=The%20number%20of %20ataques%20targeting,AI%2Dbased%20cybersecurity%20company%20CloudSek
2) Fleck, A., Richter, F. (2022, 2 de dezembro). Infográfico: O cibercrime deve disparar nos próximos anos. Infográficos estatistas. Recuperado em 23 de fevereiro de 2023, de statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=According%20to%20estimates%20from%20Statista's,to%20%2423.84%20trilhões %20by%202027
3) Ordem executiva para melhorar a segurança cibernética do país. Agência de Segurança Cibernética e Infraestrutura CISA. (nd). Recuperado em 23 de fevereiro de 2023, em cisa.gov/executive-order-improving-nations-cybersecurity
4) A Fundação Linux. (2022, 13 de setembro). O que é um SBOM? Fundação Linux. Recuperado em 23 de fevereiro de 2023, de linuxfoundation.org/blog/blog/what-is-an-sbom
5) Christofaro, B. (nd). Os ataques cibernéticos são a mais nova fronteira da guerra e podem atingir com mais força do que um desastre natural. é por isso que os EUA poderiam lutar para lidar com isso se fossem atingidos. Insider de negócios. Recuperado em 23 de fevereiro de 2023, de businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) Publicado por Ani Petrosyan, 4, S. (2022, 4 de setembro). Custo de uma violação de dados nos EUA em 2022. Statista. Recuperado em 23 de fevereiro de 2023, de statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/
7) Malone, K. (2021, 30 de abril). O governo federal está executando uma tecnologia de 50 anos - sem atualizações planejadas. Mergulho CIO. Recuperado em 23 de fevereiro de 2023, de ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/

Compartilhe artigo em mídias sociais ou e-mail:

Carimbo de hora:

Mais de Segurança Informática