เอกสารรายการวัสดุซอฟต์แวร์ของรัฐบาล (SBOM) เป็นส่วนหนึ่งของ...

เอกสารรายการวัสดุซอฟต์แวร์ของรัฐบาล (SBOM) เป็นส่วนหนึ่งของ...

ประทับเวลา: 12 มีนาคม 2023 8:00 น
ภาพข่าว

SBOMs ไม่มีความหมายเว้นแต่จะเป็นส่วนหนึ่งของกลยุทธ์ที่ใหญ่กว่าซึ่งระบุความเสี่ยงและความเปราะบางทั่วทั้งระบบการจัดการห่วงโซ่อุปทานของซอฟต์แวร์

RIEGELSVILLE, Pa. (PRWEB) March 13, 2023

จำนวนการโจมตีทางไซเบอร์ต่อภาครัฐทั่วโลกเพิ่มขึ้น 95% ในช่วงครึ่งหลังของปี 2022 เมื่อเทียบกับช่วงเวลาเดียวกันในปี 2021 (1) ค่าใช้จ่ายทั่วโลกของการโจมตีทางไซเบอร์คาดว่าจะเพิ่มขึ้นอย่างทวีคูณจาก 8.44 ล้านล้านดอลลาร์ในปี 2022 เป็น 23.84 ล้านล้านดอลลาร์ภายใน 2027(2) เพื่อสนับสนุนโครงสร้างพื้นฐานที่สำคัญของประเทศและเครือข่ายของรัฐบาลกลาง ทำเนียบขาวได้ออกคำสั่งฝ่ายบริหารที่ 14028 “การปรับปรุงความปลอดภัยทางไซเบอร์ของประเทศ” ในเดือนพฤษภาคม 2021(3) EO กำหนดมาตรการรักษาความปลอดภัยที่ซอฟต์แวร์ใดๆ ต้องปฏิบัติตาม ผู้เผยแพร่หรือนักพัฒนาที่ทำธุรกิจกับรัฐบาลกลาง หนึ่งในมาตรการเหล่านี้กำหนดให้นักพัฒนาซอฟต์แวร์ทุกคนต้องจัดทำ Software Bill of Materials (SBOM) ซึ่งเป็นรายการสินค้าคงคลังที่สมบูรณ์ของส่วนประกอบและไลบรารีที่ประกอบด้วยแอปพลิเคชันซอฟต์แวร์ Walt Szablowski ผู้ก่อตั้งและประธานบริหารของ เอราเซ็นท์ซึ่งให้การมองเห็นที่สมบูรณ์ในเครือข่ายของลูกค้าองค์กรขนาดใหญ่มานานกว่าสองทศวรรษ สังเกตว่า “SBOMs ไม่มีความหมาย เว้นแต่จะเป็นส่วนหนึ่งของกลยุทธ์ขนาดใหญ่ที่ระบุความเสี่ยงและช่องโหว่ทั่วทั้งระบบการจัดการห่วงโซ่อุปทานของซอฟต์แวร์”

National Telecommunications and Information Administration (NTIA) กำหนด Software Bill of Materials ว่าเป็น “รายการส่วนประกอบ ไลบรารี และโมดูลที่มีโครงสร้างสมบูรณ์และเป็นทางการ ซึ่งจำเป็นต่อการสร้างซอฟต์แวร์หนึ่งๆ และความสัมพันธ์ของห่วงโซ่อุปทานระหว่างกัน”( 4) สหรัฐฯ มีความเสี่ยงเป็นพิเศษต่อการโจมตีทางไซเบอร์ เนื่องจากโครงสร้างพื้นฐานส่วนใหญ่ถูกควบคุมโดยบริษัทเอกชนซึ่งอาจไม่มีระดับความปลอดภัยที่จำเป็นในการขัดขวางการโจมตี (5) ประโยชน์หลักของ SBOM คือช่วยให้องค์กรสามารถระบุ ส่วนประกอบใด ๆ ที่ประกอบกันเป็นแอปพลิเคชันซอฟต์แวร์อาจมีช่องโหว่ที่สามารถสร้างความเสี่ยงด้านความปลอดภัยหรือไม่

แม้ว่าหน่วยงานรัฐบาลของสหรัฐฯ จะได้รับคำสั่งให้นำ SBOM มาใช้ แต่บริษัทการค้าจะได้รับประโยชน์อย่างชัดเจนจากการรักษาความปลอดภัยระดับพิเศษนี้ ในปี 2022 ค่าใช้จ่ายเฉลี่ยของการละเมิดข้อมูลในสหรัฐฯ อยู่ที่ 9.44 ล้านดอลลาร์ โดยมีค่าเฉลี่ยทั่วโลกอยู่ที่ 4.35 ล้านดอลลาร์ ห้าทศวรรษ GAO เตือนว่าระบบที่ล้าสมัยเหล่านี้เพิ่มช่องโหว่ด้านความปลอดภัย และมักจะทำงานบนฮาร์ดแวร์และซอฟต์แวร์ที่ไม่รองรับอีกต่อไป (6)

Szablowski อธิบายว่า “มีสองประเด็นหลักที่ทุกองค์กรจะต้องจัดการเมื่อใช้ SBOM ประการแรก พวกเขาต้องมีเครื่องมือที่สามารถอ่านรายละเอียดทั้งหมดใน SBOM ได้อย่างรวดเร็ว จับคู่ผลลัพธ์กับข้อมูลช่องโหว่ที่ทราบ และจัดทำรายงานล่วงหน้า ประการที่สอง พวกเขาต้องสามารถสร้างกระบวนการอัตโนมัติเชิงรุกเพื่อให้อยู่เหนือกิจกรรมที่เกี่ยวข้องกับ SBOM และตัวเลือกและกระบวนการลดผลกระทบที่ไม่ซ้ำกันทั้งหมดสำหรับแต่ละส่วนประกอบหรือแอปพลิเคชันซอฟต์แวร์”

โมดูล Intelligent Cybersecurity Platform (ICSP)™ ที่ทันสมัยของ Eracent™ Cyber ​​​​Supply Chain Risk Management™ (C-SCRM) มีความโดดเด่นตรงที่สนับสนุนทั้งสองด้านนี้เพื่อเพิ่มระดับการป้องกันที่สำคัญเพิ่มเติมเพื่อลดความเสี่ยงด้านความปลอดภัยบนซอฟต์แวร์ นี่เป็นสิ่งสำคัญเมื่อเริ่มต้นโปรแกรม SBOM เชิงรุกแบบอัตโนมัติ ICSP C-SCRM ให้การป้องกันที่ครอบคลุมพร้อมมองเห็นได้ทันทีเพื่อบรรเทาช่องโหว่ระดับคอมโพเนนต์ รู้จักส่วนประกอบที่ล้าสมัยซึ่งสามารถเพิ่มความเสี่ยงด้านความปลอดภัย กระบวนการจะอ่านรายละเอียดแยกรายการภายใน SBOM โดยอัตโนมัติ และจับคู่ส่วนประกอบแต่ละรายการกับข้อมูลช่องโหว่ล่าสุดโดยใช้ IT-Pedia® IT Product Data Library ของ Eracent ซึ่งเป็นแหล่งข้อมูลเดียวที่เชื่อถือได้สำหรับข้อมูลสำคัญเกี่ยวกับฮาร์ดแวร์ไอทีนับล้านและ ผลิตภัณฑ์ซอฟต์แวร์”

แอปพลิเคชันเชิงพาณิชย์และแบบกำหนดเองส่วนใหญ่มีรหัสโอเพ่นซอร์ส เครื่องมือวิเคราะห์ช่องโหว่มาตรฐานไม่ได้ตรวจสอบส่วนประกอบโอเพ่นซอร์สแต่ละรายการภายในแอปพลิเคชัน อย่างไรก็ตาม คอมโพเนนต์เหล่านี้อาจมีช่องโหว่หรือคอมโพเนนต์ล้าสมัย เพิ่มความไวของซอฟต์แวร์ต่อการละเมิดความปลอดภัยทางไซเบอร์ Szablowski ตั้งข้อสังเกตว่า “เครื่องมือส่วนใหญ่ช่วยให้คุณสร้างหรือวิเคราะห์ SBOMs ได้ แต่เครื่องมือเหล่านี้ไม่ได้ใช้วิธีการจัดการเชิงรุกที่รวมเป็นหนึ่งเดียว เช่น โครงสร้าง ระบบอัตโนมัติ และการรายงาน บริษัทจำเป็นต้องเข้าใจความเสี่ยงที่อาจมีอยู่ในซอฟต์แวร์ที่พวกเขาใช้ ไม่ว่าจะเป็นโอเพ่นซอร์สหรือลิขสิทธิ์เฉพาะ และผู้เผยแพร่ซอฟต์แวร์จำเป็นต้องเข้าใจถึงความเสี่ยงที่อาจเกิดขึ้นจากผลิตภัณฑ์ที่พวกเขานำเสนอ องค์กรจำเป็นต้องเสริมความปลอดภัยทางไซเบอร์ด้วยระดับการป้องกันที่ได้รับการปรับปรุง ระบบ ICSP C-SCRM ของ Eracent”

เกี่ยวกับ Eracent

Walt Szablowski เป็นผู้ก่อตั้งและประธานบริหารของ Eracent และทำหน้าที่เป็นประธานของบริษัทย่อยของ Eracent (Eracent SP ZOO, Warsaw, Poland; Eracent Private LTD ในบังกาลอร์, อินเดีย และ Eracent Brazil) Eracent ช่วยลูกค้าจัดการกับความท้าทายในการจัดการสินทรัพย์เครือข่ายไอที ใบอนุญาตซอฟต์แวร์ และความปลอดภัยทางไซเบอร์ในสภาพแวดล้อมไอทีที่ซับซ้อนและมีการพัฒนาในปัจจุบัน ลูกค้าระดับองค์กรของ Eracent ประหยัดค่าใช้จ่ายด้านซอฟต์แวร์ประจำปีได้อย่างมาก ลดความเสี่ยงด้านการตรวจสอบและความปลอดภัย และสร้างกระบวนการจัดการสินทรัพย์ที่มีประสิทธิภาพมากขึ้น ฐานลูกค้าของ Eracent ประกอบด้วยเครือข่ายองค์กรและหน่วยงานภาครัฐและสภาพแวดล้อมด้านไอทีที่ใหญ่ที่สุดในโลกบางแห่ง เช่น USPS, VISA, กองทัพอากาศสหรัฐ, กระทรวงกลาโหมของอังกฤษ และบริษัทที่ติดอันดับ Fortune 500 อีกหลายสิบแห่งต่างพึ่งพาโซลูชันของ Eracent เพื่อจัดการและปกป้องเครือข่ายของตน เยี่ยม https://eracent.com/. 

อ้างอิง:
1) Venkat, A. (2023, 4 มกราคม). การโจมตีทางไซเบอร์ต่อรัฐบาลเพิ่มขึ้น 95% ในช่วงครึ่งหลังของปี 2022 Cloudsek กล่าว สคบ.ออนไลน์. สืบค้นเมื่อวันที่ 23 กุมภาพันธ์ 2023 จาก csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek says.html#:~:text=The%20number%20of %20attacks%20การกำหนดเป้าหมาย,AI%2Dbased%20cybersecurity%20company%20CloudSek
2) Fleck, A. , Richter, F. (2022, 2 ธันวาคม) อินโฟกราฟิก: อาชญากรรมทางไซเบอร์คาดว่าจะพุ่งสูงขึ้นในอีกไม่กี่ปีข้างหน้า อินโฟกราฟิกของสแตติสต้า สืบค้นเมื่อวันที่ 23 กุมภาพันธ์ 2023 จาก statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=According%20to%20estimates%20from%20Statista's,to%20%2423.84%20trillion %20โดย%202027
3) คำสั่งฝ่ายบริหารเกี่ยวกับการปรับปรุงความปลอดภัยทางไซเบอร์ของประเทศ หน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน CISA (น). สืบค้นเมื่อวันที่ 23 กุมภาพันธ์ 2023 จาก cisa.gov/executive-order-improving-nations-cybersecurity
4) มูลนิธิลินุกซ์ (2022, 13 กันยายน). SBOM คืออะไร? มูลนิธิลินุกซ์ สืบค้นเมื่อวันที่ 23 กุมภาพันธ์ 2023 จาก linuxfoundation.org/blog/blog/what-is-an-sbom
5) คริสโตฟาโร บี. (น.). การโจมตีทางไซเบอร์เป็นพรมแดนใหม่ของสงครามและสามารถโจมตีได้รุนแรงกว่าภัยธรรมชาติ นี่คือสาเหตุที่สหรัฐฯ รับมือได้ยากหากถูกโจมตี วงในธุรกิจ สืบค้นเมื่อวันที่ 23 กุมภาพันธ์ 2023 จาก businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) จัดพิมพ์โดย Ani Petrosyan, 4, S. (2022, 4 กันยายน) ค่าใช้จ่ายของการละเมิดข้อมูลในสหรัฐอเมริกาปี 2022 สถิติ สืบค้นเมื่อวันที่ 23 กุมภาพันธ์ 2023 จาก statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/
7) มาโลน เค. (2021, 30 เมษายน). รัฐบาลกลางกำลังใช้เทคโนโลยีอายุ 50 ปี – โดยไม่มีแผนอัปเดต ซีไอโอไดฟ์ สืบค้นเมื่อ 23 กุมภาพันธ์ 2023 จาก ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/

แชร์บทความเกี่ยวกับโซเชียลมีเดียหรืออีเมล:

ประทับเวลา:

เพิ่มเติมจาก รักษาความปลอดภัยคอมพิวเตอร์