SBOMs ไม่มีความหมายเว้นแต่จะเป็นส่วนหนึ่งของกลยุทธ์ที่ใหญ่กว่าซึ่งระบุความเสี่ยงและความเปราะบางทั่วทั้งระบบการจัดการห่วงโซ่อุปทานของซอฟต์แวร์
RIEGELSVILLE, Pa. (PRWEB) March 13, 2023
จำนวนการโจมตีทางไซเบอร์ต่อภาครัฐทั่วโลกเพิ่มขึ้น 95% ในช่วงครึ่งหลังของปี 2022 เมื่อเทียบกับช่วงเวลาเดียวกันในปี 2021 (1) ค่าใช้จ่ายทั่วโลกของการโจมตีทางไซเบอร์คาดว่าจะเพิ่มขึ้นอย่างทวีคูณจาก 8.44 ล้านล้านดอลลาร์ในปี 2022 เป็น 23.84 ล้านล้านดอลลาร์ภายใน 2027(2) เพื่อสนับสนุนโครงสร้างพื้นฐานที่สำคัญของประเทศและเครือข่ายของรัฐบาลกลาง ทำเนียบขาวได้ออกคำสั่งฝ่ายบริหารที่ 14028 “การปรับปรุงความปลอดภัยทางไซเบอร์ของประเทศ” ในเดือนพฤษภาคม 2021(3) EO กำหนดมาตรการรักษาความปลอดภัยที่ซอฟต์แวร์ใดๆ ต้องปฏิบัติตาม ผู้เผยแพร่หรือนักพัฒนาที่ทำธุรกิจกับรัฐบาลกลาง หนึ่งในมาตรการเหล่านี้กำหนดให้นักพัฒนาซอฟต์แวร์ทุกคนต้องจัดทำ Software Bill of Materials (SBOM) ซึ่งเป็นรายการสินค้าคงคลังที่สมบูรณ์ของส่วนประกอบและไลบรารีที่ประกอบด้วยแอปพลิเคชันซอฟต์แวร์ Walt Szablowski ผู้ก่อตั้งและประธานบริหารของ เอราเซ็นท์ซึ่งให้การมองเห็นที่สมบูรณ์ในเครือข่ายของลูกค้าองค์กรขนาดใหญ่มานานกว่าสองทศวรรษ สังเกตว่า “SBOMs ไม่มีความหมาย เว้นแต่จะเป็นส่วนหนึ่งของกลยุทธ์ขนาดใหญ่ที่ระบุความเสี่ยงและช่องโหว่ทั่วทั้งระบบการจัดการห่วงโซ่อุปทานของซอฟต์แวร์”
National Telecommunications and Information Administration (NTIA) กำหนด Software Bill of Materials ว่าเป็น “รายการส่วนประกอบ ไลบรารี และโมดูลที่มีโครงสร้างสมบูรณ์และเป็นทางการ ซึ่งจำเป็นต่อการสร้างซอฟต์แวร์หนึ่งๆ และความสัมพันธ์ของห่วงโซ่อุปทานระหว่างกัน”( 4) สหรัฐฯ มีความเสี่ยงเป็นพิเศษต่อการโจมตีทางไซเบอร์ เนื่องจากโครงสร้างพื้นฐานส่วนใหญ่ถูกควบคุมโดยบริษัทเอกชนซึ่งอาจไม่มีระดับความปลอดภัยที่จำเป็นในการขัดขวางการโจมตี (5) ประโยชน์หลักของ SBOM คือช่วยให้องค์กรสามารถระบุ ส่วนประกอบใด ๆ ที่ประกอบกันเป็นแอปพลิเคชันซอฟต์แวร์อาจมีช่องโหว่ที่สามารถสร้างความเสี่ยงด้านความปลอดภัยหรือไม่
แม้ว่าหน่วยงานรัฐบาลของสหรัฐฯ จะได้รับคำสั่งให้นำ SBOM มาใช้ แต่บริษัทการค้าจะได้รับประโยชน์อย่างชัดเจนจากการรักษาความปลอดภัยระดับพิเศษนี้ ในปี 2022 ค่าใช้จ่ายเฉลี่ยของการละเมิดข้อมูลในสหรัฐฯ อยู่ที่ 9.44 ล้านดอลลาร์ โดยมีค่าเฉลี่ยทั่วโลกอยู่ที่ 4.35 ล้านดอลลาร์ ห้าทศวรรษ GAO เตือนว่าระบบที่ล้าสมัยเหล่านี้เพิ่มช่องโหว่ด้านความปลอดภัย และมักจะทำงานบนฮาร์ดแวร์และซอฟต์แวร์ที่ไม่รองรับอีกต่อไป (6)
Szablowski อธิบายว่า “มีสองประเด็นหลักที่ทุกองค์กรจะต้องจัดการเมื่อใช้ SBOM ประการแรก พวกเขาต้องมีเครื่องมือที่สามารถอ่านรายละเอียดทั้งหมดใน SBOM ได้อย่างรวดเร็ว จับคู่ผลลัพธ์กับข้อมูลช่องโหว่ที่ทราบ และจัดทำรายงานล่วงหน้า ประการที่สอง พวกเขาต้องสามารถสร้างกระบวนการอัตโนมัติเชิงรุกเพื่อให้อยู่เหนือกิจกรรมที่เกี่ยวข้องกับ SBOM และตัวเลือกและกระบวนการลดผลกระทบที่ไม่ซ้ำกันทั้งหมดสำหรับแต่ละส่วนประกอบหรือแอปพลิเคชันซอฟต์แวร์”
โมดูล Intelligent Cybersecurity Platform (ICSP)™ ที่ทันสมัยของ Eracent™ Cyber Supply Chain Risk Management™ (C-SCRM) มีความโดดเด่นตรงที่สนับสนุนทั้งสองด้านนี้เพื่อเพิ่มระดับการป้องกันที่สำคัญเพิ่มเติมเพื่อลดความเสี่ยงด้านความปลอดภัยบนซอฟต์แวร์ นี่เป็นสิ่งสำคัญเมื่อเริ่มต้นโปรแกรม SBOM เชิงรุกแบบอัตโนมัติ ICSP C-SCRM ให้การป้องกันที่ครอบคลุมพร้อมมองเห็นได้ทันทีเพื่อบรรเทาช่องโหว่ระดับคอมโพเนนต์ รู้จักส่วนประกอบที่ล้าสมัยซึ่งสามารถเพิ่มความเสี่ยงด้านความปลอดภัย กระบวนการจะอ่านรายละเอียดแยกรายการภายใน SBOM โดยอัตโนมัติ และจับคู่ส่วนประกอบแต่ละรายการกับข้อมูลช่องโหว่ล่าสุดโดยใช้ IT-Pedia® IT Product Data Library ของ Eracent ซึ่งเป็นแหล่งข้อมูลเดียวที่เชื่อถือได้สำหรับข้อมูลสำคัญเกี่ยวกับฮาร์ดแวร์ไอทีนับล้านและ ผลิตภัณฑ์ซอฟต์แวร์”
แอปพลิเคชันเชิงพาณิชย์และแบบกำหนดเองส่วนใหญ่มีรหัสโอเพ่นซอร์ส เครื่องมือวิเคราะห์ช่องโหว่มาตรฐานไม่ได้ตรวจสอบส่วนประกอบโอเพ่นซอร์สแต่ละรายการภายในแอปพลิเคชัน อย่างไรก็ตาม คอมโพเนนต์เหล่านี้อาจมีช่องโหว่หรือคอมโพเนนต์ล้าสมัย เพิ่มความไวของซอฟต์แวร์ต่อการละเมิดความปลอดภัยทางไซเบอร์ Szablowski ตั้งข้อสังเกตว่า “เครื่องมือส่วนใหญ่ช่วยให้คุณสร้างหรือวิเคราะห์ SBOMs ได้ แต่เครื่องมือเหล่านี้ไม่ได้ใช้วิธีการจัดการเชิงรุกที่รวมเป็นหนึ่งเดียว เช่น โครงสร้าง ระบบอัตโนมัติ และการรายงาน บริษัทจำเป็นต้องเข้าใจความเสี่ยงที่อาจมีอยู่ในซอฟต์แวร์ที่พวกเขาใช้ ไม่ว่าจะเป็นโอเพ่นซอร์สหรือลิขสิทธิ์เฉพาะ และผู้เผยแพร่ซอฟต์แวร์จำเป็นต้องเข้าใจถึงความเสี่ยงที่อาจเกิดขึ้นจากผลิตภัณฑ์ที่พวกเขานำเสนอ องค์กรจำเป็นต้องเสริมความปลอดภัยทางไซเบอร์ด้วยระดับการป้องกันที่ได้รับการปรับปรุง ระบบ ICSP C-SCRM ของ Eracent”
เกี่ยวกับ Eracent
Walt Szablowski เป็นผู้ก่อตั้งและประธานบริหารของ Eracent และทำหน้าที่เป็นประธานของบริษัทย่อยของ Eracent (Eracent SP ZOO, Warsaw, Poland; Eracent Private LTD ในบังกาลอร์, อินเดีย และ Eracent Brazil) Eracent ช่วยลูกค้าจัดการกับความท้าทายในการจัดการสินทรัพย์เครือข่ายไอที ใบอนุญาตซอฟต์แวร์ และความปลอดภัยทางไซเบอร์ในสภาพแวดล้อมไอทีที่ซับซ้อนและมีการพัฒนาในปัจจุบัน ลูกค้าระดับองค์กรของ Eracent ประหยัดค่าใช้จ่ายด้านซอฟต์แวร์ประจำปีได้อย่างมาก ลดความเสี่ยงด้านการตรวจสอบและความปลอดภัย และสร้างกระบวนการจัดการสินทรัพย์ที่มีประสิทธิภาพมากขึ้น ฐานลูกค้าของ Eracent ประกอบด้วยเครือข่ายองค์กรและหน่วยงานภาครัฐและสภาพแวดล้อมด้านไอทีที่ใหญ่ที่สุดในโลกบางแห่ง เช่น USPS, VISA, กองทัพอากาศสหรัฐ, กระทรวงกลาโหมของอังกฤษ และบริษัทที่ติดอันดับ Fortune 500 อีกหลายสิบแห่งต่างพึ่งพาโซลูชันของ Eracent เพื่อจัดการและปกป้องเครือข่ายของตน เยี่ยม https://eracent.com/.
อ้างอิง:
1) Venkat, A. (2023, 4 มกราคม). การโจมตีทางไซเบอร์ต่อรัฐบาลเพิ่มขึ้น 95% ในช่วงครึ่งหลังของปี 2022 Cloudsek กล่าว สคบ.ออนไลน์. สืบค้นเมื่อวันที่ 23 กุมภาพันธ์ 2023 จาก csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek says.html#:~:text=The%20number%20of %20attacks%20การกำหนดเป้าหมาย,AI%2Dbased%20cybersecurity%20company%20CloudSek
2) Fleck, A. , Richter, F. (2022, 2 ธันวาคม) อินโฟกราฟิก: อาชญากรรมทางไซเบอร์คาดว่าจะพุ่งสูงขึ้นในอีกไม่กี่ปีข้างหน้า อินโฟกราฟิกของสแตติสต้า สืบค้นเมื่อวันที่ 23 กุมภาพันธ์ 2023 จาก statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=According%20to%20estimates%20from%20Statista's,to%20%2423.84%20trillion %20โดย%202027
3) คำสั่งฝ่ายบริหารเกี่ยวกับการปรับปรุงความปลอดภัยทางไซเบอร์ของประเทศ หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน CISA (น). สืบค้นเมื่อวันที่ 23 กุมภาพันธ์ 2023 จาก cisa.gov/executive-order-improving-nations-cybersecurity
4) มูลนิธิลินุกซ์ (2022, 13 กันยายน). SBOM คืออะไร? มูลนิธิลินุกซ์ สืบค้นเมื่อวันที่ 23 กุมภาพันธ์ 2023 จาก linuxfoundation.org/blog/blog/what-is-an-sbom
5) คริสโตฟาโร บี. (น.). การโจมตีทางไซเบอร์เป็นพรมแดนใหม่ของสงครามและสามารถโจมตีได้รุนแรงกว่าภัยธรรมชาติ นี่คือสาเหตุที่สหรัฐฯ รับมือได้ยากหากถูกโจมตี วงในธุรกิจ สืบค้นเมื่อวันที่ 23 กุมภาพันธ์ 2023 จาก businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) จัดพิมพ์โดย Ani Petrosyan, 4, S. (2022, 4 กันยายน) ค่าใช้จ่ายของการละเมิดข้อมูลในสหรัฐอเมริกาปี 2022 สถิติ สืบค้นเมื่อวันที่ 23 กุมภาพันธ์ 2023 จาก statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/
7) มาโลน เค. (2021, 30 เมษายน). รัฐบาลกลางกำลังใช้เทคโนโลยีอายุ 50 ปี – โดยไม่มีแผนอัปเดต ซีไอโอไดฟ์ สืบค้นเมื่อ 23 กุมภาพันธ์ 2023 จาก ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/
แชร์บทความเกี่ยวกับโซเชียลมีเดียหรืออีเมล:
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://www.prweb.com/releases/the_governments_software_bill_of_materials_sbom_mandate_is_part_of_a_bigger_cybersecurity_picture/prweb19219949.htm
- :เป็น
- $ ขึ้น
- 1
- 2021
- 2022
- 2023
- 7
- 84
- 95%
- a
- สามารถ
- ตาม
- ความรับผิดชอบ
- ข้าม
- อยากทำกิจกรรม
- เพิ่มเติม
- ที่อยู่
- การบริหาร
- นำมาใช้
- กับ
- หน่วยงานที่
- บริษัท ตัวแทน
- ทั้งหมด
- การวิเคราะห์
- วิเคราะห์
- และ
- และโครงสร้างพื้นฐาน
- ประจำปี
- การใช้งาน
- การใช้งาน
- เข้าใกล้
- เมษายน
- เป็น
- บทความ
- AS
- ด้าน
- สินทรัพย์
- การจัดการสินทรัพย์
- สินทรัพย์
- โจมตี
- การตรวจสอบบัญชี
- อัตโนมัติ
- อัตโนมัติ
- อัตโนมัติ
- เฉลี่ย
- กลับ
- ฐาน
- BE
- เพราะ
- ประโยชน์
- ระหว่าง
- บิล
- บราซิล
- ช่องโหว่
- การละเมิด
- British
- สร้าง
- ธุรกิจ
- by
- CAN
- โซ่
- เก้าอี้
- ประธานกรรมการ
- ความท้าทาย
- CIO
- อย่างเห็นได้ชัด
- ไคลเอนต์
- ลูกค้า
- รหัส
- มา
- เชิงพาณิชย์
- บริษัท
- เมื่อเทียบกับ
- สมบูรณ์
- ซับซ้อน
- ส่วนประกอบ
- ส่วนประกอบ
- ครอบคลุม
- บรรจุ
- การควบคุม
- ไทม์ไลน์การ
- ราคา
- ได้
- สร้าง
- วิกฤติ
- โครงสร้างพื้นฐานที่สำคัญ
- ประเพณี
- ลูกค้า
- ตัดขอบ
- ไซเบอร์
- cyberattacks
- อาชญากรรม
- cybersecurity
- ข้อมูล
- การละเมิดข้อมูล
- การนัดหมาย
- ทศวรรษที่ผ่านมา
- ธันวาคม
- ป้องกัน
- กำหนด
- มอบ
- รายละเอียด
- ผู้พัฒนา
- นักพัฒนา
- ภัยพิบัติ
- หลายสิบ
- แต่ละ
- ที่มีประสิทธิภาพ
- อีเมล
- ทำให้สามารถ
- ที่เพิ่มขึ้น
- Enterprise
- สภาพแวดล้อม
- พร้อม
- โดยเฉพาะอย่างยิ่ง
- จำเป็น
- สร้าง
- ทุกๆ
- การพัฒนา
- ผู้บริหารงาน
- คำสั่งของผู้บริหาร
- ที่คาดหวัง
- อธิบาย
- อย่างแทน
- พิเศษ
- กุมภาพันธ์
- รัฐบาลกลาง
- รัฐบาลกลาง
- ชื่อจริง
- ตาม
- สำหรับ
- เป็นทางการ
- โชคลาภ
- รากฐาน
- ผู้สร้าง
- มัก
- ราคาเริ่มต้นที่
- ชายแดน
- GAO
- กำหนด
- เหตุการณ์ที่
- รัฐบาล
- สำนักงานความรับผิดชอบของรัฐบาล
- สำนักงานความรับผิดชอบของรัฐบาล (GAO)
- รัฐบาล
- ขึ้น
- ครึ่ง
- ฮาร์ดแวร์
- มี
- จะช่วยให้
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- ตี
- บ้าน
- อย่างไรก็ตาม
- HTTPS
- ระบุ
- แยกแยะ
- ภาพ
- การปรับปรุง
- in
- รวมถึง
- เพิ่ม
- เพิ่มขึ้น
- ที่เพิ่มขึ้น
- อินเดีย
- เป็นรายบุคคล
- Infographic
- ข้อมูล
- โครงสร้างพื้นฐาน
- โดยธรรมชาติ
- คนวงใน
- ด่วน
- ฉลาด
- สินค้าคงคลัง
- ทุนที่ออก
- IT
- ITS
- มกราคม
- เพิ่มขึ้น
- คีย์
- ที่รู้จักกัน
- ใหญ่
- ที่มีขนาดใหญ่
- ใหญ่ที่สุด
- ชื่อสกุล
- มรดก
- ชั้น
- ห้องสมุด
- ห้องสมุด
- ใบอนุญาต
- ลินุกซ์
- มูลนิธิลินุกซ์
- รายการ
- จดทะเบียน
- อีกต่อไป
- จำกัด
- ส่วนใหญ่
- ทำ
- จัดการ
- การจัดการ
- การจัดการ
- อาณัติ
- การจับคู่
- วัสดุ
- มาตรการ
- ภาพบรรยากาศ
- พบ
- ล้าน
- ล้าน
- กระทรวง
- บรรเทา
- การบรรเทา
- โมดูล
- ข้อมูลเพิ่มเติม
- มีประสิทธิภาพมากขึ้น
- มากที่สุด
- ประเทศชาติ
- แห่งชาติ
- เนชั่น
- โดยธรรมชาติ
- จำเป็น
- จำเป็นต้อง
- เครือข่าย
- เครือข่าย
- ล่าสุด
- ข่าว
- หมายเหตุ / รายละเอียดเพิ่มเติม
- จำนวน
- สังเกต
- ล้าสมัย
- of
- เสนอ
- เสนอ
- Office
- on
- ONE
- ออนไลน์
- โอเพนซอร์ส
- รหัสโอเพนซอร์ซ
- Options
- ใบสั่ง
- organizacja
- องค์กร
- ส่วนหนึ่ง
- ระยะเวลา
- ชิ้น
- การวางแผน
- เวที
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- โปแลนด์
- ที่มีศักยภาพ
- ส่วนตัว
- บริษัทเอกชน
- เชิงรุก
- กระบวนการ
- กระบวนการ
- ผลิตภัณฑ์
- ผลิตภัณฑ์
- โครงการ
- เป็นเจ้าของ
- ป้องกัน
- การป้องกัน
- ให้
- ให้
- การตีพิมพ์
- สำนักพิมพ์
- สำนักพิมพ์
- อย่างรวดเร็ว
- อ่าน
- ตระหนักถึงความ
- ลด
- ความสัมพันธ์
- รายงาน
- การรายงาน
- จำเป็นต้องใช้
- ต้อง
- ผลสอบ
- ริกเตอร์
- ความเสี่ยง
- ความเสี่ยง
- วิ่ง
- วิ่ง
- s
- เดียวกัน
- ลด
- พูดว่า
- ที่สอง
- ภาค
- ความปลอดภัย
- ความเสี่ยงด้านความปลอดภัย
- กันยายน
- ให้บริการอาหาร
- อย่างมีความหมาย
- เดียว
- skyrocket
- สังคม
- โซเชียลมีเดีย
- ซอฟต์แวร์
- นักพัฒนาซอฟต์แวร์
- โซลูชัน
- บาง
- แหล่ง
- ใช้จ่าย
- มาตรฐาน
- เข้าพัก
- กลยุทธ์
- โขก
- โครงสร้าง
- โครงสร้าง
- การต่อสู้
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- การจัดการห่วงโซ่อุปทาน
- สนับสนุน
- ที่สนับสนุน
- รองรับ
- ระบบ
- ระบบ
- การ
- เทคโนโลยี
- โทรคมนาคม
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- สาม
- เวลา
- ไปยัง
- วันนี้
- เครื่องมือ
- เครื่องมือ
- ด้านบน
- ล้านล้าน
- เรา
- รัฐบาลสหรัฐ
- เข้าใจ
- เป็นเอกลักษณ์
- ทันเหตุการณ์
- การปรับปรุง
- us
- ใช้
- กว้างใหญ่
- วีซ่า
- ความชัดเจน
- เยี่ยมชมร้านค้า
- ช่องโหว่
- ความอ่อนแอ
- อ่อนแอ
- สงคราม
- วอร์ซอ
- อะไร
- ความหมายของ
- ว่า
- ที่
- ขาว
- ทำเนียบขาว
- WHO
- จะ
- กับ
- ภายใน
- ของโลก
- ทั่วโลก
- จะ
- ปี
- คุณ
- ลมทะเล
- สวนสัตว์