SBOM бессмысленны, если они не являются частью более крупной стратегии, определяющей риски и уязвимости в системе управления цепочками поставок программного обеспечения.
РИГЕЛЬСВИЛЬ, Пенсильвания (PRWEB) 13 марта 2023
Число кибератак, совершенных против государственного сектора во всем мире, увеличилось на 95 % во второй половине 2022 г. по сравнению с тем же периодом 2021 г. (1) Ожидается, что глобальная стоимость кибератак вырастет в геометрической прогрессии с 8.44 трлн долларов в 2022 году до 23.84 трлн долларов к 2027 г. (2) Для поддержки критически важной инфраструктуры страны и сетей федерального правительства Белый дом издал Исполнительный указ 14028 «Улучшение национальной кибербезопасности» в мае 2021 г. (3) ЭО определяет меры безопасности, которым должно следовать любое программное обеспечение. издатель или разработчик, который ведет дела с федеральным правительством. Одна из этих мер требует, чтобы все разработчики программного обеспечения предоставили спецификацию программного обеспечения (SBOM), полный перечень компонентов и библиотек, составляющих программное приложение. Уолт Шабловски, основатель и исполнительный председатель Скрытный, которая обеспечивает полную прозрачность сетей своих крупных корпоративных клиентов на протяжении более двух десятилетий, отмечает: «SBOM бессмысленны, если они не являются частью более крупной стратегии, которая выявляет риски и уязвимости в системе управления цепочками поставок программного обеспечения».
Национальное управление по телекоммуникациям и информации (NTIA) определяет спецификацию программного обеспечения как «полный, формально структурированный список компонентов, библиотек и модулей, которые необходимы для создания данного программного обеспечения и взаимосвязей в цепочке поставок между ними». 4) США особенно уязвимы для кибератак, потому что большая часть их инфраструктуры контролируется частными компаниями, которые могут не иметь уровня безопасности, необходимого для предотвращения атаки. (5) Основное преимущество SBOM заключается в том, что они позволяют организациям идентифицировать может ли какой-либо из компонентов, составляющих программное приложение, иметь уязвимость, которая может создать угрозу безопасности.
В то время как правительственные учреждения США будут обязаны внедрить SBOM, коммерческие компании явно выиграют от этого дополнительного уровня безопасности. По состоянию на 2022 год средняя стоимость утечки данных в США составляет 9.44 миллиона долларов, а в среднем по миру — 4.35 миллиона долларов. (6) Согласно отчету Счетной палаты (GAO), федеральное правительство использует три устаревшие технологические системы, пять десятков лет. GAO предупредил, что эти устаревшие системы повышают уязвимость системы безопасности и часто работают на аппаратном и программном обеспечении, которое больше не поддерживается.(7)
Шабловски объясняет: «Есть два ключевых аспекта, которые каждая организация должна учитывать при использовании SBOM. Во-первых, у них должен быть инструмент, который может быстро считывать все детали в SBOM, сопоставлять результаты с известными данными об уязвимостях и предоставлять оперативные отчеты. Во-вторых, они должны быть в состоянии установить автоматизированный упреждающий процесс, чтобы оставаться в курсе действий, связанных с SBOM, и всех уникальных вариантов и процессов смягчения последствий для каждого компонента или программного приложения».
Передовой модуль Intelligent Cybersecurity Platform (ICSP)™ Cyber Supply Chain Risk Management™ (C-SCRM) Eracent уникален тем, что он поддерживает оба этих аспекта, чтобы обеспечить дополнительный критический уровень защиты для минимизации рисков безопасности, связанных с программным обеспечением. Это важно при запуске проактивной автоматизированной программы SBOM. ICSP C-SCRM предлагает комплексную защиту с мгновенной видимостью для устранения любых уязвимостей на уровне компонентов. Он распознает устаревшие компоненты, которые также могут увеличить угрозу безопасности. Процесс автоматически считывает детализированные данные в SBOM и сопоставляет каждый перечисленный компонент с самыми последними данными об уязвимостях, используя библиотеку данных ИТ-продуктов Eracent IT-Pedia® — единый авторитетный источник важных данных о миллионах ИТ-оборудования и программные продукты».
Подавляющее большинство коммерческих и пользовательских приложений содержат код с открытым исходным кодом. Стандартные инструменты анализа уязвимостей не проверяют отдельные компоненты с открытым исходным кодом в приложениях. Однако любой из этих компонентов может содержать уязвимости или устаревшие компоненты, что повышает уязвимость программного обеспечения к нарушениям кибербезопасности. Шабловски отмечает: «Большинство инструментов позволяют создавать или анализировать SBOM, но они не используют консолидированный упреждающий подход к управлению — структуру, автоматизацию и отчетность. Компании должны понимать риски, которые могут существовать в используемом ими программном обеспечении, будь то открытое или проприетарное. И издатели программного обеспечения должны понимать потенциальные риски, присущие предлагаемым ими продуктам. Организациям необходимо усилить свою кибербезопасность с помощью повышенного уровня защиты, который обеспечивает система Eracent ICSP C-SCRM».
О компании
Уолт Шабловски является основателем и исполнительным председателем Eracent, а также председателем дочерних компаний Eracent (Eracent SP ZOO, Варшава, Польша; Eracent Private LTD в Бангалоре, Индия; и Eracent в Бразилии). Eracent помогает своим клиентам решать задачи управления активами ИТ-сетей, лицензиями на программное обеспечение и кибербезопасностью в современных сложных и развивающихся ИТ-средах. Корпоративные клиенты Eracent значительно экономят свои ежегодные расходы на программное обеспечение, снижают риски аудита и безопасности и внедряют более эффективные процессы управления активами. Клиентская база Eracent включает в себя некоторые из крупнейших в мире корпоративных и государственных сетей и ИТ-сред — USPS, VISA, ВВС США, Министерство обороны Великобритании — и десятки компаний из списка Fortune 500 полагаются на решения Eracent для управления и защиты своих сетей. Посещать https://eracent.com/.
Ссылки:
1) Венкат, А. (2023, 4 января). По словам Клаудсека, количество кибератак против правительств во второй половине 95 года выросло на 2022%. ОГО онлайн. Получено 23 февраля 2023 г. с csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek say.html#:~:text=The%20number%20of %20attacks%20targeting,AI%2Dbased%20cybersecurity%20company%20CloudSek
2) Флек А., Рихтер Ф. (2022, 2 декабря). Инфографика: в ближайшие годы ожидается резкий рост киберпреступности. Статистическая инфографика. Получено 23 февраля 2023 г. с сайта statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=согласно оценкам%20to%20estimates%20from%20Statista, to%20%2423.84%20триллионов %20%202027
3) Указ о повышении национальной кибербезопасности. Агентство кибербезопасности и безопасности инфраструктуры CISA. (й). Получено 23 февраля 2023 г. с сайта cisa.gov/executive-order-improving-nations-cybersecurity.
4) Фонд Linux. (2022, 13 сентября). Что такое СБОМ? Фонд Линукс. Получено 23 февраля 2023 г. с сайта linuxfoundation.org/blog/blog/what-is-an-sbom.
5) Кристофаро, Б. (nd). Кибератаки — новейший рубеж войны, и они могут нанести более серьезный удар, чем стихийное бедствие. вот почему США могут бороться, чтобы справиться, если они будут поражены. Инсайдер бизнеса. Получено 23 февраля 2023 г. с сайта businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4.
6) Опубликовано Ани Петросян, 4, С. (2022, 4 сентября). Стоимость утечки данных в США в 2022 году. Statista. Получено 23 февраля 2023 г. с сайта statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/.
7) Мэлоун, К. (2021, 30 апреля). Федеральное правительство использует технологию 50-летней давности, обновления которой не планируются. ИТ-директор погружение. Получено 23 февраля 2023 г. с сайта ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/.
Поделиться статьей о социальных сетях или электронной почте:
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.prweb.com/releases/the_governments_software_bill_of_materials_sbom_mandate_is_part_of_a_bigger_cybersecurity_picture/prweb19219949.htm
- :является
- $UP
- 1
- 2021
- 2022
- 2023
- 7
- 84
- 95%
- a
- в состоянии
- По
- отчетность
- через
- деятельность
- дополнительный
- адрес
- администрация
- принять
- против
- агентствах
- агентство
- Все
- анализ
- анализировать
- и
- и инфраструктура
- годовой
- Применение
- Приложения
- подхода
- апрель
- МЫ
- гайд
- AS
- аспекты
- активы
- управление активами
- Активы
- атаковать
- аудит
- Автоматизированный
- автоматически
- автоматизация
- в среднем
- назад
- Использование темпера с изогнутым основанием
- BE
- , так как:
- польза
- между
- Билл
- Бразилия
- нарушение
- нарушения
- Британская
- строить
- бизнес
- by
- CAN
- цепь
- Кресла
- председатель
- проблемы
- CIO
- явно
- клиент
- клиентов
- код
- приход
- коммерческая
- Компании
- сравненный
- полный
- комплекс
- компонент
- компоненты
- комплексный
- содержать
- контроль
- Корпоративное
- Цена
- может
- Создайте
- критической
- Критическая инфраструктура
- изготовленный на заказ
- Клиенты
- передовой
- кибер-
- кибератаки
- киберпреступности
- Информационная безопасность
- данным
- Данные нарушения
- Знакомства
- десятилетия
- Декабрь
- Защита
- Определяет
- обеспечивает
- подробнее
- Застройщик
- застройщиков
- катастрофа
- множество
- каждый
- эффективный
- включить
- расширение
- Предприятие
- средах
- оборудованный
- особенно
- существенный
- установить
- Каждая
- развивается
- исполнительный
- распоряжение
- ожидаемый
- Объясняет
- экспоненциально
- дополнительно
- февраль
- Федеральный
- Федеральное правительство
- Во-первых,
- следует
- Что касается
- Формально
- Fortune
- Год основания
- основатель
- часто
- от
- Граница
- GAO
- данный
- Глобальный
- Правительство
- Управление государственной подотчетности
- Управление по подотчетности правительства (GAO)
- Правительства
- Расти
- Половина
- Аппаратные средства
- Есть
- помогает
- здесь
- Удар
- Вилла / Бунгало
- Однако
- HTTPS
- идентифицирует
- определения
- изображение
- улучшение
- in
- включает в себя
- Увеличение
- расширились
- повышение
- Индия
- individual
- инфографики
- информация
- Инфраструктура
- свойственный
- Инсайдер
- мгновение
- Умный
- инвентаризация
- Выпущен
- IT
- ЕГО
- январь
- Прыгнул
- Основные
- известный
- большой
- больше
- крупнейших
- Фамилия
- Наследие
- уровень
- библиотеки
- Библиотека
- лицензии
- Linux
- linux foundation
- Список
- Включенный в список
- дольше
- ООО
- Большинство
- сделать
- управлять
- управление
- управления
- Мандат
- Совпадение
- материалы
- меры
- Медиа
- Встречайте
- миллиона
- миллионы
- министерство
- смягчать
- смягчение
- Модули
- БОЛЕЕ
- более эффективным
- самых
- народ
- национальный
- Наций
- натуральный
- необходимо
- Необходимость
- сеть
- сетей
- Новые
- Новости
- Заметки
- номер
- Соблюдает
- устаревший
- of
- предлагают
- Предложения
- Офис
- on
- ONE
- онлайн
- с открытым исходным кодом
- открытый исходный код
- Опции
- заказ
- организация
- организации
- часть
- период
- кусок
- запланированный
- Платформа
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Польша
- потенциал
- частная
- Частные компании
- Проактивная
- процесс
- Процессы
- Продукт
- Продукция
- FitPartner™
- ( изучите наши патенты),
- для защиты
- защиту
- обеспечивать
- при условии
- опубликованный
- издатель
- Издатели
- быстро
- Читать
- признает
- уменьшить
- Отношения
- отчету
- Reporting
- обязательный
- требуется
- Итоги
- Рихтер
- Снижение
- рисках,
- Run
- Бег
- s
- то же
- Сохранить
- говорит
- Во-вторых
- Сектора юридического права
- безопасность
- риски безопасности
- сентябрь
- служит
- существенно
- одинарной
- сигнальная ракета
- Соцсети
- социальные сети
- Software
- Разработчики программного обеспечения
- Решения
- некоторые
- Источник
- тратить
- стандарт
- оставаться
- Стратегия
- удар
- Структура
- структурированный
- Бороться
- поставка
- цепочками поставок
- система управления цепями поставок
- поддержка
- Поддержанный
- Поддержка
- система
- системы
- с
- Технологии
- связь
- который
- Ассоциация
- их
- Их
- Эти
- три
- время
- в
- Сегодняшних
- инструментом
- инструменты
- топ
- Триллион
- нам
- Правительство США
- понимать
- созданного
- новейший
- Updates
- us
- использование
- Огромная
- визой,
- видимость
- Войти
- Уязвимости
- уязвимость
- Уязвимый
- войны
- Варшава
- Что
- Что такое
- будь то
- который
- белый
- Белый дом
- КТО
- будете
- в
- мире
- по всему миру
- бы
- лет
- Ты
- зефирнет
- ZOO