Мандат Уряду щодо матеріалів щодо програмного забезпечення (SBOM) є частиною…

SBOM не мають сенсу, якщо вони не є частиною більшої стратегії, яка визначає ризики та вразливі місця в системі управління ланцюгом постачання програмного забезпечення.

РІГЕЛСВІЛЛЬ, Пенсильванія (PRWEB) Березня 13, 2023

Кількість кібератак, здійснених проти державних секторів у всьому світі, зросла на 95% у другій половині 2022 року порівняно з тим самим періодом 2021 року. (1) Очікується, що глобальні витрати на кібератаки зростуть експоненціально з 8.44 трильйона доларів США у 2022 році до 23.84 трильйона доларів США до 2027.(2) Щоб підтримати критично важливу інфраструктуру країни та мережі федерального уряду, у травні 14028 року Білий дім видав розпорядження 2021 «Підвищення кібербезпеки країни».(3) EO визначає заходи безпеки, яких має дотримуватися будь-яке програмне забезпечення. видавець або розробник, який співпрацює з федеральним урядом. Один із цих заходів вимагає від усіх розробників програмного забезпечення надати перелік матеріалів програмного забезпечення (SBOM), повний перелік компонентів і бібліотек, які складають програмне забезпечення. Волт Шабловський, засновник і виконавчий голова Ерасент, яка забезпечує повну видимість мереж своїх великих корпоративних клієнтів протягом більше двох десятиліть, зазначає: «SBOM не мають сенсу, якщо вони не є частиною більшої стратегії, яка визначає ризики та вразливі місця в системі керування ланцюгом постачання програмного забезпечення».

Національне управління телекомунікацій та інформації (NTIA) визначає опис матеріалів програмного забезпечення як «повний, формально структурований перелік компонентів, бібліотек і модулів, необхідних для створення певної частини програмного забезпечення та зв’язків ланцюга поставок між ними».( 4) США особливо вразливі до кібератак, оскільки значна частина їхньої інфраструктури контролюється приватними компаніями, які можуть не мати необхідного рівня безпеки, щоб запобігти атаці. (5) Ключова перевага SBOM полягає в тому, що вони дозволяють організаціям ідентифікувати чи може будь-який із компонентів програмного забезпечення мати вразливість, яка може створити загрозу безпеці.

У той час як урядові установи США будуть мати повноваження прийняти SBOM, комерційні компанії явно виграють від цього додаткового рівня безпеки. Станом на 2022 рік середня вартість витоку даних у США становить 9.44 мільйона доларів США, у середньому по всьому світу – 4.35 мільйона доларів США. (6) Згідно зі звітом Управління звітності уряду (GAO), федеральний уряд керує трьома застарілими технологічними системами, починаючи з тих пір. п'ять десятиліть. GAO попередив, що ці застарілі системи збільшують вразливість безпеки та часто працюють на апаратному та програмному забезпеченні, яке більше не підтримується.(7)

Шабловський пояснює: «Є два ключові аспекти, на які кожна організація повинна звертати увагу, використовуючи SBOM. По-перше, вони повинні мати інструмент, який може швидко зчитувати всі деталі в SBOM, зіставляти результати з відомими даними про вразливості та надавати оперативні звіти. По-друге, вони повинні мати можливість налагодити автоматизований, проактивний процес, щоб бути в курсі діяльності, пов’язаної з SBOM, і всіх унікальних параметрів і процесів пом’якшення для кожного компонента або програмного забезпечення».

Передовий модуль Intelligent Cybersecurity Platform (ICSP)™ Cyber ​​Supply Chain Risk Management™ (C-SCRM) від Eracent унікальний тим, що він підтримує обидва ці аспекти, щоб забезпечити додатковий критичний рівень захисту для мінімізації програмних ризиків безпеки. Це важливо під час запуску проактивної автоматизованої програми SBOM. ICSP C-SCRM пропонує комплексний захист із миттєвою видимістю для пом’якшення будь-яких уразливостей на рівні компонентів. Він розпізнає застарілі компоненти, які також можуть збільшити ризик безпеки. Процес автоматично зчитує деталізовані деталі в SBOM і зіставляє кожен перерахований компонент із найновішими даними про вразливості за допомогою бібліотеки IT-продуктів IT-Pedia® від Eracent — єдиного авторитетного джерела важливих даних про мільйони ІТ-обладнання та програмні продукти».

Переважна більшість комерційних і спеціальних програм містить код з відкритим кодом. Стандартні інструменти аналізу вразливостей не перевіряють окремі компоненти з відкритим кодом у програмах. Однак будь-який із цих компонентів може містити вразливі місця або застарілі компоненти, що підвищує вразливість програмного забезпечення до порушень кібербезпеки. Шабловський зазначає: «Більшість інструментів дозволяють створювати або аналізувати SBOM, але вони не використовують консолідований, проактивний підхід до управління — структуру, автоматизацію та звітність. Компанії повинні розуміти ризики, які можуть існувати в програмному забезпеченні, яке вони використовують, будь то з відкритим кодом чи пропрієтарним. Видавці програмного забезпечення повинні розуміти потенційні ризики, притаманні продуктам, які вони пропонують. Організаціям необхідно зміцнити свою кібербезпеку за допомогою покращеного рівня захисту, який забезпечує система ICSP C-SCRM від Eracent».

Про Eracent

Волт Шабловський є засновником і виконавчим головою Eracent, а також є головою дочірніх компаній Eracent (Eracent SP ZOO, Варшава, Польща; Eracent Private LTD в Бангалорі, Індія; і Eracent Brazil). Eracent допомагає своїм клієнтам вирішувати проблеми управління ІТ-мережевими активами, ліцензіями на програмне забезпечення та кібербезпекою в сучасних складних ІТ-середовищах, що розвиваються. Корпоративні клієнти Eracent суттєво економлять на щорічних витратах на програмне забезпечення, зменшують ризики аудиту та безпеки та встановлюють більш ефективні процеси управління активами. Клієнтська база Eracent включає деякі з найбільших у світі корпоративних і державних мереж і ІТ-середовища — USPS, VISA, ВПС США, Міністерство оборони Великобританії — і десятки компаній зі списку Fortune 500 покладаються на рішення Eracent для керування та захисту своїх мереж. Відвідайте https://eracent.com/. 

Список використаної літератури:
1) Венкат, А. (2023, 4 січня). Кібератаки на уряди зросли на 95% в останній половині 2022 року, каже Клаудсек. ОГС онлайн. Отримано 23 лютого 2023 року з csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek says.html#:~:text=The%20number%20of %20атаки%20таргетування,%2кібербезпека%20компанія%20CloudSek на основі ШІ
2) Флек, А., Ріхтер, Ф. (2022, 2 грудня). Інфографіка: найближчими роками очікується різке зростання кіберзлочинності. Інфографіка Statista. Отримано 23 лютого 2023 року зі statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=According%20to%20estimates%20from%20Statista's,to%20%2423.84%20trillion %20за%202027
3) Указ про підвищення рівня кібербезпеки країни. Агентство з кібербезпеки та безпеки інфраструктури CISA. (nd). Отримано 23 лютого 2023 року з cisa.gov/executive-order-improving-nations-cybersecurity
4) Фонд Linux. (2022, 13 вересня). Що таке SBOM? Linux Foundation. Отримано 23 лютого 2023 року з linuxfoundation.org/blog/blog/what-is-an-sbom
5) Крістофаро, Б. (nd). Кібератаки є найновішим рубежем війни, і вони можуть завдати сильнішого удару, ніж стихійне лихо. ось чому США можуть важко впоратися, якщо вони постраждають. Business Insider. Отримано 23 лютого 2023 року з businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) Опубліковано Ані Петросян, 4, С. (2022, 4 вересня). Вартість витоку даних у США 2022. Statista. Отримано 23 лютого 2023 року зі statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/
7) Мелоун, К. (2021, 30 квітня). Федеральний уряд використовує технологію 50-річної давності – оновлення не планується. CIO Dive. Отримано 23 лютого 2023 року з ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/

Опублікувати статтю про соціальні медіа чи електронну пошту: