Regeringens mandat för SBOM (Software Bill of Materials) är en del av...

SBOM:er är meningslösa om de inte är en del av en större strategi som identifierar risker och sårbarheter i hela mjukvarans försörjningskedja.

RIEGELSVILLE, PA (PRWEB) Mars 13, 2023

Antalet cyberattacker mot statliga sektorer över hela världen ökade med 95 % under andra halvåret 2022 jämfört med samma tidsperiod 2021.(1) Den globala kostnaden för cyberattacker förväntas växa exponentiellt från 8.44 biljoner dollar 2022 till 23.84 biljoner dollar med 2027.(2) För att stödja landets kritiska infrastruktur och federala regeringsnätverk utfärdade Vita huset Executive Order 14028, "Improving the Nation's Cybersecurity" i maj 2021.(3) EO definierar säkerhetsåtgärderna som måste följas av all programvara utgivare eller utvecklare som gör affärer med den federala regeringen. En av dessa åtgärder kräver att alla mjukvaruutvecklare tillhandahåller en Software Bill of Materials (SBOM), en komplett inventeringslista över komponenter och bibliotek som utgör en mjukvaruapplikation. Walt Szablowski, grundare och verkställande styrelseordförande för Eracent, som har gett fullständig insyn i sina stora företagskunders nätverk i över två decennier, konstaterar, "SBOMs är meningslösa såvida de inte är en del av en större strategi som identifierar risker och sårbarheter i hela mjukvaruförsörjningskedjan."

National Telecommunications and Information Administration (NTIA) definierar en Software Bill of Materials som "en komplett, formellt strukturerad lista över komponenter, bibliotek och moduler som krävs för att bygga en given mjukvara och försörjningskedjans relationer mellan dem."( 4) USA är särskilt sårbart för cyberattacker eftersom mycket av dess infrastruktur kontrolleras av privata företag som kanske inte är utrustade med den säkerhetsnivå som krävs för att förhindra en attack.(5) Den viktigaste fördelen med SBOM är att de gör det möjligt för organisationer att identifiera om någon av komponenterna som utgör ett program kan ha en sårbarhet som kan skapa en säkerhetsrisk.

Medan amerikanska statliga myndigheter kommer att ha mandat att anta SBOMs, skulle kommersiella företag helt klart dra nytta av denna extra säkerhetsnivå. Från och med 2022 är den genomsnittliga kostnaden för ett dataintrång i USA $9.44 miljoner, med ett globalt genomsnitt på $4.35 miljoner.(6) Enligt en rapport från Government Accountability Office (GAO) driver den federala regeringen tre äldre teknologisystem som går tillbaka fem decennier. GAO varnade för att dessa föråldrade system ökar säkerhetssårbarheterna och körs ofta på hårdvara och mjukvara som inte längre stöds.(7)

Szablowski förklarar, "Det finns två nyckelaspekter som varje organisation måste ta itu med när de använder SBOM. Först måste de ha ett verktyg som snabbt kan läsa alla detaljer i en SBOM, matcha resultaten med kända sårbarhetsdata och ge heads-up-rapportering. För det andra måste de kunna etablera en automatiserad, proaktiv process för att hålla koll på SBOM-relaterad aktivitet och alla unika begränsningsalternativ och processer för varje komponent eller mjukvaruapplikation."

Eracents banbrytande Intelligent Cybersecurity Platform (ICSP)™ Cyber ​​Supply Chain Risk Management™ (C-SCRM) modul är unik genom att den stöder båda dessa aspekter för att tillhandahålla en ytterligare, kritisk nivå av skydd för att minimera mjukvarubaserade säkerhetsrisker. Detta är viktigt när man startar ett proaktivt, automatiserat SBOM-program. ICSP C-SCRM erbjuder omfattande skydd med omedelbar synlighet för att mildra eventuella sårbarheter på komponentnivå. Den känner igen föråldrade komponenter som också kan öka säkerhetsrisken. Processen läser automatiskt de specificerade detaljerna i SBOM och matchar varje listad komponent med den senaste sårbarhetsdatan med hjälp av Eracents IT-Pedia® IT Product Data Library – en enda auktoritativ källa för viktig data om miljontals IT-hårdvara och mjukvaruprodukter."

En stor majoritet av kommersiella och anpassade applikationer innehåller öppen källkod. Standardverktyg för sårbarhetsanalys granskar inte enskilda komponenter med öppen källkod i applikationer. Men vilken som helst av dessa komponenter kan innehålla sårbarheter eller föråldrade komponenter, vilket ökar mjukvarans känslighet för cybersäkerhetsöverträdelser. Szablowski noterar, "De flesta verktyg låter dig skapa eller analysera SBOMs, men de tar inte en konsoliderad, proaktiv hanteringsmetod – struktur, automatisering och rapportering. Företag måste förstå de risker som kan finnas i programvaran de använder, oavsett om den är öppen källkod eller proprietär. Och programutgivare måste förstå de potentiella riskerna med de produkter de erbjuder. Organisationer måste stärka sin cybersäkerhet med den förbättrade skyddsnivån som Eracents ICSP C-SCRM-system ger.”

Om Eracent

Walt Szablowski är grundare och verkställande styrelseordförande för Eracent och fungerar som ordförande för Eracents dotterbolag (Eracent SP ZOO, Warszawa, Polen; Eracent Private LTD i Bangalore, Indien; och Eracent Brasilien). Eracent hjälper sina kunder att möta utmaningarna med att hantera IT-nätverkstillgångar, programvarulicenser och cybersäkerhet i dagens komplexa och utvecklande IT-miljöer. Eracents företagskunder sparar avsevärt på sina årliga programvaruutgifter, minskar sina revisions- och säkerhetsrisker och etablerar effektivare processer för tillgångshantering. Eracents kundbas inkluderar några av världens största företags- och statliga nätverk och IT-miljöer – USPS, VISA, US Air Force, det brittiska försvarsministeriet – och dussintals Fortune 500-företag förlitar sig på Eracents lösningar för att hantera och skydda sina nätverk. Besök https://eracent.com/. 

Referenser:
1) Venkat, A. (2023, 4 januari). Cyberattacker mot regeringar ökade med 95 % under sista halvan av 2022, säger Cloudsek. CSO online. Hämtad 23 februari 2023 från csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek says.html#:~:text=The%20number%20of %20attacks%20targeting,AI%2Dbased%20cybersecurity%20company%20CloudSek
2) Fleck, A., Richter, F. (2022, 2 december). Infografik: Cyberbrottslighet förväntas skjuta i höjden under de kommande åren. Statista infografik. Hämtad 23 februari 2023 från statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=According%20to%20estimates%20from%20Statista's,to%20%2423.84%20trill. %20 av %202027
3) Beslut om att förbättra landets cybersäkerhet. Cybersäkerhets- och infrastruktursäkerhetsbyrån CISA. (nd). Hämtad 23 februari 2023 från cisa.gov/executive-order-improving-nations-cybersecurity
4) Linux Foundation. (2022, 13 september). Vad är en SBOM? Linux Foundation. Hämtad 23 februari 2023 från linuxfoundation.org/blog/blog/what-is-an-sbom
5) Christofaro, B. (nd). Cyberattacker är krigets nyaste gräns och kan drabba hårdare än en naturkatastrof. här är anledningen till att USA kan kämpa för att klara sig om det drabbades. Business Insider. Hämtad 23 februari 2023 från businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) Publicerad av Ani Petrosyan, 4, S. (2022, 4 september). Kostnad för ett dataintrång i USA 2022. Statista. Hämtad 23 februari 2023 från statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/
7) Malone, K. (2021, 30 april). Den federala regeringen kör 50 år gammal teknik – utan några planerade uppdateringar. CIO Dyk. Hämtad 23 februari 2023 från ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/

Dela artikeln om sociala medier eller e-post: