Правительственный мандат на разработку программного обеспечения (SBOM) является частью…

SBOM бессмысленны, если они не являются частью более крупной стратегии, определяющей риски и уязвимости в системе управления цепочками поставок программного обеспечения.

РИГЕЛЬСВИЛЬ, Пенсильвания (PRWEB) 13 марта 2023

Число кибератак, совершенных против государственного сектора во всем мире, увеличилось на 95 % во второй половине 2022 г. по сравнению с тем же периодом 2021 г. (1) Ожидается, что глобальная стоимость кибератак вырастет в геометрической прогрессии с 8.44 трлн долларов в 2022 году до 23.84 трлн долларов к 2027 г. (2) Для поддержки критически важной инфраструктуры страны и сетей федерального правительства Белый дом издал Исполнительный указ 14028 «Улучшение национальной кибербезопасности» в мае 2021 г. (3) ЭО определяет меры безопасности, которым должно следовать любое программное обеспечение. издатель или разработчик, который ведет дела с федеральным правительством. Одна из этих мер требует, чтобы все разработчики программного обеспечения предоставили спецификацию программного обеспечения (SBOM), полный перечень компонентов и библиотек, составляющих программное приложение. Уолт Шабловски, основатель и исполнительный председатель Скрытный, которая обеспечивает полную прозрачность сетей своих крупных корпоративных клиентов на протяжении более двух десятилетий, отмечает: «SBOM бессмысленны, если они не являются частью более крупной стратегии, которая выявляет риски и уязвимости в системе управления цепочками поставок программного обеспечения».

Национальное управление по телекоммуникациям и информации (NTIA) определяет спецификацию программного обеспечения как «полный, формально структурированный список компонентов, библиотек и модулей, которые необходимы для создания данного программного обеспечения и взаимосвязей в цепочке поставок между ними». 4) США особенно уязвимы для кибератак, потому что большая часть их инфраструктуры контролируется частными компаниями, которые могут не иметь уровня безопасности, необходимого для предотвращения атаки. (5) Основное преимущество SBOM заключается в том, что они позволяют организациям идентифицировать может ли какой-либо из компонентов, составляющих программное приложение, иметь уязвимость, которая может создать угрозу безопасности.

В то время как правительственные учреждения США будут обязаны внедрить SBOM, коммерческие компании явно выиграют от этого дополнительного уровня безопасности. По состоянию на 2022 год средняя стоимость утечки данных в США составляет 9.44 миллиона долларов, а в среднем по миру — 4.35 миллиона долларов. (6) Согласно отчету Счетной палаты (GAO), федеральное правительство использует три устаревшие технологические системы, пять десятков лет. GAO предупредил, что эти устаревшие системы повышают уязвимость системы безопасности и часто работают на аппаратном и программном обеспечении, которое больше не поддерживается.(7)

Шабловски объясняет: «Есть два ключевых аспекта, которые каждая организация должна учитывать при использовании SBOM. Во-первых, у них должен быть инструмент, который может быстро считывать все детали в SBOM, сопоставлять результаты с известными данными об уязвимостях и предоставлять оперативные отчеты. Во-вторых, они должны быть в состоянии установить автоматизированный упреждающий процесс, чтобы оставаться в курсе действий, связанных с SBOM, и всех уникальных вариантов и процессов смягчения последствий для каждого компонента или программного приложения».

Передовой модуль Intelligent Cybersecurity Platform (ICSP)™ Cyber ​​Supply Chain Risk Management™ (C-SCRM) Eracent уникален тем, что он поддерживает оба этих аспекта, чтобы обеспечить дополнительный критический уровень защиты для минимизации рисков безопасности, связанных с программным обеспечением. Это важно при запуске проактивной автоматизированной программы SBOM. ICSP C-SCRM предлагает комплексную защиту с мгновенной видимостью для устранения любых уязвимостей на уровне компонентов. Он распознает устаревшие компоненты, которые также могут увеличить угрозу безопасности. Процесс автоматически считывает детализированные данные в SBOM и сопоставляет каждый перечисленный компонент с самыми последними данными об уязвимостях, используя библиотеку данных ИТ-продуктов Eracent IT-Pedia® — единый авторитетный источник важных данных о миллионах ИТ-оборудования и программные продукты».

Подавляющее большинство коммерческих и пользовательских приложений содержат код с открытым исходным кодом. Стандартные инструменты анализа уязвимостей не проверяют отдельные компоненты с открытым исходным кодом в приложениях. Однако любой из этих компонентов может содержать уязвимости или устаревшие компоненты, что повышает уязвимость программного обеспечения к нарушениям кибербезопасности. Шабловски отмечает: «Большинство инструментов позволяют создавать или анализировать SBOM, но они не используют консолидированный упреждающий подход к управлению — структуру, автоматизацию и отчетность. Компании должны понимать риски, которые могут существовать в используемом ими программном обеспечении, будь то открытое или проприетарное. И издатели программного обеспечения должны понимать потенциальные риски, присущие предлагаемым ими продуктам. Организациям необходимо усилить свою кибербезопасность с помощью повышенного уровня защиты, который обеспечивает система Eracent ICSP C-SCRM».

О компании

Уолт Шабловски является основателем и исполнительным председателем Eracent, а также председателем дочерних компаний Eracent (Eracent SP ZOO, Варшава, Польша; Eracent Private LTD в Бангалоре, Индия; и Eracent в Бразилии). Eracent помогает своим клиентам решать задачи управления активами ИТ-сетей, лицензиями на программное обеспечение и кибербезопасностью в современных сложных и развивающихся ИТ-средах. Корпоративные клиенты Eracent значительно экономят свои ежегодные расходы на программное обеспечение, снижают риски аудита и безопасности и внедряют более эффективные процессы управления активами. Клиентская база Eracent включает в себя некоторые из крупнейших в мире корпоративных и государственных сетей и ИТ-сред — USPS, VISA, ВВС США, Министерство обороны Великобритании — и десятки компаний из списка Fortune 500 полагаются на решения Eracent для управления и защиты своих сетей. Посещать https://eracent.com/. 

Ссылки:
1) Венкат, А. (2023, 4 января). По словам Клаудсека, количество кибератак против правительств во второй половине 95 года выросло на 2022%. ОГО онлайн. Получено 23 февраля 2023 г. с csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek say.html#:~:text=The%20number%20of %20attacks%20targeting,AI%2Dbased%20cybersecurity%20company%20CloudSek
2) Флек А., Рихтер Ф. (2022, 2 декабря). Инфографика: в ближайшие годы ожидается резкий рост киберпреступности. Статистическая инфографика. Получено 23 февраля 2023 г. с сайта statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=согласно оценкам%20to%20estimates%20from%20Statista, to%20%2423.84%20триллионов %20%202027
3) Указ о повышении национальной кибербезопасности. Агентство кибербезопасности и безопасности инфраструктуры CISA. (й). Получено 23 февраля 2023 г. с сайта cisa.gov/executive-order-improving-nations-cybersecurity.
4) Фонд Linux. (2022, 13 сентября). Что такое СБОМ? Фонд Линукс. Получено 23 февраля 2023 г. с сайта linuxfoundation.org/blog/blog/what-is-an-sbom.
5) Кристофаро, Б. (nd). Кибератаки — новейший рубеж войны, и они могут нанести более серьезный удар, чем стихийное бедствие. вот почему США могут бороться, чтобы справиться, если они будут поражены. Инсайдер бизнеса. Получено 23 февраля 2023 г. с сайта businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4.
6) Опубликовано Ани Петросян, 4, С. (2022, 4 сентября). Стоимость утечки данных в США в 2022 году. Statista. Получено 23 февраля 2023 г. с сайта statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/.
7) Мэлоун, К. (2021, 30 апреля). Федеральное правительство использует технологию 50-летней давности, обновления которой не планируются. ИТ-директор погружение. Получено 23 февраля 2023 г. с сайта ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/.

Поделиться статьей о социальных сетях или электронной почте: