Hükümetin Yazılım Malzeme Listesi (SBOM) Yetkisi,…

SBOM'lar, yazılım tedarik zinciri yönetim sistemi genelinde riskleri ve güvenlik açıklarını tanımlayan daha büyük bir stratejinin parçası olmadıkça anlamsızdır.

RIEGELSVILLE, Pa. (PRWEB) 13 Mart, 2023

95'nin ikinci yarısında, dünya çapında devlet sektörlerine karşı yürütülen siber saldırıların sayısı, 2022'in aynı dönemine kıyasla %2021 arttı.(1) Siber saldırıların küresel maliyetinin 8.44'de 2022 trilyon dolardan 23.84 trilyon dolara katlanarak artması bekleniyor. 2027.(2) Beyaz Saray, ülkenin kritik altyapısını ve Federal Hükümet ağlarını desteklemek için Mayıs 14028'de "Ulusun Siber Güvenliğini İyileştirme" başlıklı 2021 sayılı İcra Kararnamesini yayınladı.(3) EO, herhangi bir yazılım tarafından izlenmesi gereken güvenlik önlemlerini tanımlar. Federal Hükümet ile iş yapan yayıncı veya geliştirici. Bu önlemlerden biri, tüm yazılım geliştiricilerin, bir yazılım uygulamasını oluşturan bileşenlerin ve kitaplıkların tam bir envanter listesi olan bir Yazılım Malzeme Listesi (SBOM) sağlamasını gerektirir. Walt Szablowski, Kurucu ve Yönetim Kurulu Başkanı silinebiliryirmi yılı aşkın bir süredir büyük kurumsal müşterilerinin ağlarına tam görünürlük sağlayan , şu gözlemde bulunuyor: "Yazılım tedarik zinciri yönetim sistemi genelinde riskleri ve güvenlik açıklarını tanımlayan daha büyük bir stratejinin parçası olmadıkça SBOM'lar anlamsızdır."

Ulusal Telekomünikasyon ve Bilgi İdaresi (NTIA), bir Yazılım Malzeme Listesini "belirli bir yazılım parçasını ve bunlar arasındaki tedarik zinciri ilişkilerini oluşturmak için gerekli olan bileşenlerin, kitaplıkların ve modüllerin eksiksiz, resmi olarak yapılandırılmış bir listesi" olarak tanımlar. 4) ABD, siber saldırılara karşı özellikle savunmasızdır çünkü altyapısının çoğu, bir saldırıyı engellemek için gerekli güvenlik düzeyiyle donatılmamış olabilecek özel şirketler tarafından kontrol edilmektedir.(5) SBOM'lerin en önemli yararı, kuruluşların kimliklerini bir yazılım uygulamasını oluşturan bileşenlerden herhangi birinin güvenlik riski oluşturabilecek bir zafiyet içerip içermediği.

ABD hükümet kurumları SBOM'ları benimsemekle görevlendirilecek olsa da, ticari şirketler bu ekstra güvenlik seviyesinden açıkça faydalanacaktır. 2022 itibariyle, ABD'de bir veri ihlalinin ortalama maliyeti 9.44 milyon dolar, küresel ortalama ise 4.35 milyon dolardır.(6) Bir Devlet Sorumluluk Ofisi (GAO) raporuna göre, Federal Hükümet geçmişe dayanan üç eski teknoloji sistemi çalıştırmaktadır. beş on yıl GAO, bu eski sistemlerin güvenlik açıklarını artırdığı ve sıklıkla artık desteklenmeyen donanım ve yazılımlar üzerinde çalıştığı konusunda uyarıda bulundu.(7)

Szablowski şöyle açıklıyor: "SBOM'ları kullanırken her kuruluşun ele alması gereken iki temel husus vardır. İlk olarak, bir SBOM'deki tüm ayrıntıları hızlı bir şekilde okuyabilen, sonuçları bilinen güvenlik açığı verileriyle eşleştirebilen ve önceden raporlama sağlayan bir araca sahip olmaları gerekir. İkinci olarak, SBOM ile ilgili faaliyetlerin ve her bir bileşen veya yazılım uygulaması için tüm benzersiz hafifletme seçeneklerinin ve süreçlerinin zirvesinde kalmak için otomatik, proaktif bir süreç oluşturabilmelidirler.”

Eracent'in son teknoloji Akıllı Siber Güvenlik Platformu (ICSP)™ Siber Tedarik Zinciri Risk Yönetimi™ (C-SCRM) modülü yazılım tabanlı güvenlik risklerini en aza indirmek için ek, kritik bir koruma düzeyi sağlamak üzere bu yönlerin her ikisini de desteklemesi bakımından benzersizdir. Bu, proaktif, otomatikleştirilmiş bir SBOM programını başlatırken önemlidir. ICSP C-SCRM, bileşen düzeyindeki güvenlik açıklarını azaltmak için anında görünürlükle kapsamlı koruma sunar. Güvenlik riskini de artırabilen eski bileşenleri tanır. Süreç, SBOM içindeki ayrıntılı ayrıntıları otomatik olarak okur ve listelenen her bir bileşeni, milyonlarca BT donanımına ilişkin temel veriler için tek, yetkili bir kaynak olan Eracent'in IT-Pedia® BT Ürün Veri Kitaplığı'nı kullanarak en güncel güvenlik açığı verileriyle eşleştirir ve yazılım ürünleri.”

Ticari ve özel uygulamaların büyük çoğunluğu açık kaynak kodu içerir. Standart güvenlik açığı analizi araçları, uygulamalar içindeki açık kaynak bileşenlerini ayrı ayrı incelemez. Bununla birlikte, bu bileşenlerden herhangi biri, siber güvenlik ihlallerine karşı yazılım duyarlılığını artıran güvenlik açıkları veya eski bileşenler içerebilir. Szablowski, "Çoğu araç, SBOM'ler oluşturmanıza veya analiz etmenize izin verir, ancak yapı, otomasyon ve raporlama gibi konsolide, proaktif bir yönetim yaklaşımı benimsemezler. Şirketlerin, ister açık kaynaklı ister özel mülk olsun, kullandıkları yazılımlarda var olabilecek riskleri anlamaları gerekir. Ve yazılım yayıncılarının sundukları ürünlere özgü potansiyel riskleri anlamaları gerekir. Kuruluşların, Eracent'in ICSP C-SCRM sisteminin sunduğu gelişmiş koruma düzeyiyle siber güvenliklerini güçlendirmeleri gerekiyor.”

Eracent Hakkında

Walt Szablowski, Eracent'in Kurucusu ve Yönetim Kurulu Başkanıdır ve Eracent'in yan kuruluşlarının (Eracent SP ZOO, Varşova, Polonya; Bangalore, Hindistan'da Eracent Private LTD ve Eracent Brezilya) Başkanı olarak görev yapmaktadır. Eracent, müşterilerinin günümüzün karmaşık ve gelişen BT ortamlarında BT ağ varlıklarını, yazılım lisanslarını ve siber güvenliği yönetme zorluklarını aşmasına yardımcı olur. Eracent'in kurumsal müşterileri, yıllık yazılım harcamalarında önemli ölçüde tasarruf sağlar, denetim ve güvenlik risklerini azaltır ve daha verimli varlık yönetimi süreçleri oluşturur. Eracent'in müşteri tabanı, dünyanın en büyük kurumsal ve devlet ağlarından bazılarını ve BT ortamlarını (USPS, VISA, ABD Hava Kuvvetleri, İngiliz Savunma Bakanlığı) içerir ve düzinelerce Fortune 500 şirketi, ağlarını yönetmek ve korumak için Eracent çözümlerine güvenir. Ziyaret etmek https://eracent.com/. 

Referanslar:
1) Venkat, A. (2023, 4 Ocak). Cloudsek, hükümetlere yönelik siber saldırıların 95'nin son yarısında %2022 arttığını söylüyor. STK Çevrimiçi. Erişim tarihi: 23 Şubat 2023, csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek diyor.html#:~:text=The%20number%20of %20attacks%20targeting,AI%2Dbased%20cybersecurity%20company%20CloudSek
2) Fleck, A., Richter, F. (2022, 2 Aralık). Infographic: Siber suçların önümüzdeki yıllarda fırlaması bekleniyor. Statista Infographics. Erişim tarihi: 23 Şubat 2023, statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=According%20to%20estimates%20from%20Statista's,to%20%2423.84%20trilyon %20by%202027
3) Ülkenin siber güvenliğini geliştirmeye yönelik yürütme emri. Siber Güvenlik ve Altyapı Güvenliği Ajansı CISA. (son). 23 Şubat 2023 tarihinde cisa.gov/executive-order-improving-nations-cybersecurity adresinden erişildi
4) Linux Vakfı. (2022, 13 Eylül). SBOM nedir? Linux Vakfı. 23 Şubat 2023 tarihinde linuxfoundation.org/blog/blog/what-is-an-sbom adresinden alındı
5) Christofaro, B. (sonrası). Siber saldırılar, savaşın en yeni cephesidir ve doğal bir felaketten daha sert vurabilir. İşte bu yüzden ABD vurulursa başa çıkmakta zorlanabilir. İş İçeriği. 23 Şubat 2023 tarihinde businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4 adresinden alındı
6) Yayınlayan: Ani Petrosyan, 4, S. (2022, 4 Eylül). ABD'de bir veri ihlalinin maliyeti 2022. Statista. 23 Şubat 2023 tarihinde statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/ adresinden alındı
7) Malone, K. (2021, 30 Nisan). Federal hükümet, herhangi bir güncelleme planlanmadan 50 yıllık bir teknoloji kullanıyor. CIO Dalışı. 23 Şubat 2023 tarihinde ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/ adresinden alındı.

Sosyal medyada veya e-postayla ilgili makaleyi paylaşın: