Mandat vlade za programsko opremo (SBOM) je del ...

SBOM so nesmiselni, razen če so del širše strategije, ki prepoznava tveganja in ranljivosti v sistemu upravljanja dobavne verige programske opreme.

RIEGELSVILLE, Pa. (PRWEB) Marec 13, 2023

Število kibernetskih napadov na vladne sektorje po vsem svetu se je v drugi polovici leta 95 povečalo za 2022 % v primerjavi z istim časovnim obdobjem leta 2021. (1) Globalni stroški kibernetskih napadov naj bi eksponentno narasli z 8.44 bilijona USD leta 2022 na 23.84 bilijona USD do leta 2027. 2. (14028) Bela hiša je maja 2021 izdala izvršilno odredbo 3, »Izboljšanje kibernetske varnosti države«, da bi podprla nacionalno kritično infrastrukturo in omrežja zvezne vlade. (XNUMX) EO opredeljuje varnostne ukrepe, ki jih mora upoštevati katera koli programska oprema. založnik ali razvijalec, ki posluje z zvezno vlado. Eden od teh ukrepov od vseh razvijalcev programske opreme zahteva, da zagotovijo seznam materiala za programsko opremo (SBOM), popoln seznam komponent in knjižnic, ki sestavljajo programsko aplikacijo. Walt Szablowski, ustanovitelj in izvršni predsednik Eracent, ki že več kot dve desetletji zagotavlja popolno vidljivost v omrežjih svojih velikih poslovnih strank, ugotavlja: "SBOM so nesmiselni, razen če so del večje strategije, ki prepoznava tveganja in ranljivosti v sistemu upravljanja dobavne verige programske opreme."

Državna uprava za telekomunikacije in informacije (NTIA) opredeljuje seznam materiala programske opreme kot "popoln, formalno strukturiran seznam komponent, knjižnic in modulov, ki so potrebni za izgradnjo določenega dela programske opreme in odnosov v dobavni verigi med njimi."( 4) ZDA so še posebej ranljive za kibernetske napade, ker velik del njihove infrastrukture nadzorujejo zasebna podjetja, ki morda niso opremljena s stopnjo varnosti, ki je potrebna za preprečitev napada. (5) Ključna prednost SBOM je, da organizacijam omogočajo prepoznavanje ali ima katera od komponent, ki sestavljajo programsko aplikacijo, ranljivost, ki lahko povzroči varnostno tveganje.

Medtem ko bodo ameriške vladne agencije pooblaščene za sprejetje SBOM, bi komercialna podjetja očitno imela koristi od te dodatne stopnje varnosti. Od leta 2022 znaša povprečni strošek kršitve podatkov v ZDA 9.44 milijona dolarjev, svetovno povprečje pa 4.35 milijona dolarjev. (6) Po poročilu vladnega urada za odgovornost (GAO) zvezna vlada upravlja tri podedovane tehnološke sisteme, ki segajo v preteklost. pet desetletij. GAO je opozoril, da ti zastareli sistemi povečujejo varnostne ranljivosti in pogosto delujejo na strojni in programski opremi, ki ni več podprta. (7)

Szablowski pojasnjuje: »Obstajata dva ključna vidika, ki ju bo morala obravnavati vsaka organizacija pri uporabi SBOM. Prvič, imeti morajo orodje, ki lahko hitro prebere vse podrobnosti v SBOM, primerja rezultate z znanimi podatki o ranljivosti in zagotovi napovedano poročanje. Drugič, imeti morajo možnost vzpostaviti avtomatiziran, proaktiven postopek, da ostanejo na tekočem z aktivnostmi, povezanimi s SBOM, in vsemi edinstvenimi možnostmi in procesi ublažitve za vsako komponento ali programsko aplikacijo.«

Eracentov najsodobnejši modul Intelligent Cybersecurity Platform (ICSP)™ Cyber ​​Supply Chain Risk Management™ (C-SCRM) je edinstven v tem, da podpira oba vidika, da zagotovi dodatno, kritično raven zaščite za zmanjšanje varnostnih tveganj, ki temeljijo na programski opremi. To je bistveno pri zagonu proaktivnega, avtomatiziranega programa SBOM. ICSP C-SCRM ponuja celovito zaščito s takojšnjo vidljivostjo za ublažitev morebitnih ranljivosti na ravni komponente. Prepozna zastarele komponente, ki lahko povečajo tudi varnostno tveganje. Postopek samodejno prebere razčlenjene podrobnosti znotraj SBOM in poveže vsako navedeno komponento z najnovejšimi podatki o ranljivosti z uporabo Eracentove IT-Pedia® IT Product Data Library – enega samega verodostojnega vira bistvenih podatkov o milijonih strojne opreme IT in programski izdelki."

Velika večina komercialnih in prilagojenih aplikacij vsebuje odprtokodno kodo. Standardna orodja za analizo ranljivosti ne preučujejo posameznih odprtokodnih komponent znotraj aplikacij. Vendar pa lahko katera koli od teh komponent vsebuje ranljivosti ali zastarele komponente, kar povečuje dovzetnost programske opreme za kršitve kibernetske varnosti. Szablowski ugotavlja: »Večina orodij vam omogoča ustvarjanje ali analizo SBOM, vendar ne uporabljajo konsolidiranega, proaktivnega pristopa upravljanja – strukture, avtomatizacije in poročanja. Podjetja morajo razumeti tveganja, ki lahko obstajajo v programski opremi, ki jo uporabljajo, ne glede na to, ali je odprtokodna ali lastniška. Založniki programske opreme morajo razumeti možna tveganja, povezana z izdelki, ki jih ponujajo. Organizacije morajo okrepiti svojo kibernetsko varnost z izboljšano stopnjo zaščite, ki jo zagotavlja Eracentov sistem ICSP C-SCRM.”

O Eracentu

Walt Szablowski je ustanovitelj in izvršni predsednik Eracenta in je predsednik Eracentovih podružnic (Eracent SP ZOO, Varšava, Poljska; Eracent Private LTD v Bangaloreju, Indija; in Eracent Brazil). Eracent pomaga svojim strankam pri soočanju z izzivi upravljanja omrežnih sredstev IT, licenc programske opreme in kibernetske varnosti v današnjih zapletenih in razvijajočih se okoljih IT. Eracentove poslovne stranke znatno prihranijo pri letni porabi programske opreme, zmanjšajo revizijska in varnostna tveganja ter vzpostavijo učinkovitejše procese upravljanja sredstev. Eracentova baza strank vključuje nekatera največja svetovna korporativna in vladna omrežja ter IT okolja – USPS, VISA, US Airforce, britansko ministrstvo za obrambo – in na desetine podjetij s seznama Fortune 500 se zanašajo na rešitve Eracent za upravljanje in zaščito svojih omrežij. Obisk https://eracent.com/. 

Reference:
1) Venkat, A. (2023, 4. januar). Kibernetski napadi na vlade so v zadnji polovici leta 95 poskočili za 2022 %, pravi Cloudsek. CSO na spletu. Pridobljeno 23. februarja 2023 s csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek says.html#:~:text=The%20number%20of %20napadi%20targetiranje,%2umetna inteligenca%20Dkibernetska varnost%20podjetje%20CloudSek
2) Fleck, A., Richter, F. (2022, 2. december). Infografika: Pričakuje se, da bo kibernetski kriminal v prihodnjih letih skokovito narasel. Infografika Statista. Pridobljeno 23. februarja 2023 s statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=According%20to%20estimates%20from%20Statista's,to%20%2423.84%20trillion %20by%202027
3) Izvršni ukaz o izboljšanju kibernetske varnosti države. Agencija za kibernetsko varnost in varnost infrastrukture CISA. (nd). Pridobljeno 23. februarja 2023 s cisa.gov/executive-order-improving-nations-cybersecurity
4) Fundacija Linux. (2022, 13. september). Kaj je SBOM? Fundacija Linux. Pridobljeno 23. februarja 2023 z linuxfoundation.org/blog/blog/what-is-an-sbom
5) Christofaro, B. (nd.). Kibernetski napadi so najnovejša meja vojne in lahko udarijo močneje kot naravna katastrofa. tukaj je razlog, zakaj bi se lahko ZDA težko spopadle, če bi bile prizadete. Business Insider. Pridobljeno 23. februarja 2023 s spletnega mesta businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) Izdala Ani Petrosyan, 4, S. (2022, 4. september). Stroški kršitve podatkov v ZDA 2022. Statista. Pridobljeno 23. februarja 2023 s statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/
7) Malone, K. (2021, 30. april). Zvezna vlada uporablja 50 let staro tehnologijo – brez načrtovanih posodobitev. CIO Dive. Pridobljeno 23. februarja 2023 s ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/

Delite članek v socialnih medijih ali e-pošti: