SBOM là vô nghĩa trừ khi chúng là một phần của chiến lược lớn hơn xác định các rủi ro và lỗ hổng trong hệ thống quản lý chuỗi cung ứng phần mềm.
RIEGELSVILLE, Pa. (PRWEB) 13 Tháng ba, 2023
Số lượng các cuộc tấn công mạng nhằm vào các cơ quan chính phủ trên toàn thế giới đã tăng 95% trong nửa cuối năm 2022 so với cùng kỳ năm 2021. (1) Chi phí toàn cầu cho các cuộc tấn công mạng dự kiến sẽ tăng theo cấp số nhân từ 8.44 nghìn tỷ USD năm 2022 lên 23.84 nghìn tỷ USD vào năm 2027. 2.(14028) Để hỗ trợ cơ sở hạ tầng quan trọng của quốc gia và các mạng của Chính phủ Liên bang, Nhà Trắng đã ban hành Sắc lệnh Hành pháp 2021, “Cải thiện An ninh mạng của Quốc gia” vào tháng 3 năm XNUMX. (XNUMX) EO xác định các biện pháp bảo mật mà bất kỳ phần mềm nào cũng phải tuân theo nhà xuất bản hoặc nhà phát triển kinh doanh với Chính phủ Liên bang. Một trong những biện pháp này yêu cầu tất cả các nhà phát triển phần mềm cung cấp Hóa đơn tài liệu phần mềm (SBOM), một danh sách kiểm kê đầy đủ các thành phần và thư viện bao gồm một ứng dụng phần mềm. Walt Szablowski, Người sáng lập và Chủ tịch điều hành của kỷ nguyên, đã cung cấp khả năng hiển thị đầy đủ vào mạng của các khách hàng doanh nghiệp lớn trong hơn hai thập kỷ, nhận xét: “SBOM là vô nghĩa trừ khi chúng là một phần của chiến lược lớn hơn giúp xác định rủi ro và lỗ hổng trong hệ thống quản lý chuỗi cung ứng phần mềm.”
Cục Quản lý Thông tin và Viễn thông Quốc gia (NTIA) định nghĩa Danh mục Nguyên liệu Phần mềm là “một danh sách hoàn chỉnh, có cấu trúc chính thức gồm các thành phần, thư viện và mô-đun được yêu cầu để xây dựng một phần mềm nhất định và mối quan hệ chuỗi cung ứng giữa chúng.”( 4) Hoa Kỳ đặc biệt dễ bị tấn công mạng vì phần lớn cơ sở hạ tầng của họ được kiểm soát bởi các công ty tư nhân, những công ty này có thể không được trang bị mức độ bảo mật cần thiết để ngăn chặn một cuộc tấn công.(5) Lợi ích chính của SBOM là chúng cho phép các tổ chức xác định liệu có bất kỳ thành phần nào tạo nên một ứng dụng phần mềm có lỗ hổng bảo mật có thể tạo ra rủi ro bảo mật hay không.
Trong khi các cơ quan chính phủ Hoa Kỳ sẽ được ủy quyền áp dụng SBOM, các công ty thương mại rõ ràng sẽ được hưởng lợi từ mức độ bảo mật bổ sung này. Tính đến năm 2022, chi phí trung bình của một vụ vi phạm dữ liệu ở Hoa Kỳ là 9.44 triệu đô la, với mức trung bình trên toàn cầu là 4.35 triệu đô la.(6) Theo báo cáo của Văn phòng Trách nhiệm giải trình Chính phủ (GAO), Chính phủ Liên bang vận hành ba hệ thống công nghệ kế thừa có niên đại năm thập kỷ. GAO cảnh báo rằng những hệ thống lỗi thời này làm gia tăng các lỗ hổng bảo mật và thường chạy trên phần cứng và phần mềm không còn được hỗ trợ.(7)
Szablowski giải thích, “Có hai khía cạnh chính mà mọi tổ chức sẽ phải giải quyết khi sử dụng SBOM. Đầu tiên, họ phải có một công cụ có thể đọc nhanh tất cả các chi tiết trong SBOM, khớp kết quả với dữ liệu lỗ hổng đã biết và cung cấp báo cáo trực tiếp. Thứ hai, họ phải có khả năng thiết lập một quy trình chủ động, tự động để luôn cập nhật hoạt động liên quan đến SBOM và tất cả các tùy chọn và quy trình giảm thiểu duy nhất cho từng thành phần hoặc ứng dụng phần mềm.”
Mô-đun Nền tảng an ninh mạng thông minh (ICSP)™ tiên tiến của Eracent™ Quản lý rủi ro chuỗi cung ứng không gian mạng™ (C-SCRM) là duy nhất ở chỗ nó hỗ trợ cả hai khía cạnh này để cung cấp mức độ bảo vệ bổ sung, quan trọng nhằm giảm thiểu rủi ro bảo mật dựa trên phần mềm. Điều này là cần thiết khi bắt đầu một chương trình SBOM chủ động, tự động. ICSP C-SCRM cung cấp khả năng bảo vệ toàn diện với khả năng hiển thị tức thời để giảm thiểu mọi lỗ hổng ở cấp độ thành phần. Nó nhận ra các thành phần lỗi thời cũng có thể làm tăng rủi ro bảo mật. Quá trình này sẽ tự động đọc các chi tiết được chia thành từng mục trong SBOM và khớp từng thành phần được liệt kê với dữ liệu dễ bị tổn thương cập nhật nhất bằng Thư viện Dữ liệu Sản phẩm CNTT IT-Pedia® của Eracent — một nguồn duy nhất, có thẩm quyền cho dữ liệu thiết yếu liên quan đến hàng triệu thiết bị và phần cứng CNTT. sản phẩm phần mềm."
Phần lớn các ứng dụng thương mại và tùy chỉnh chứa mã nguồn mở. Các công cụ phân tích lỗ hổng tiêu chuẩn không xem xét kỹ lưỡng các thành phần nguồn mở riêng lẻ trong các ứng dụng. Tuy nhiên, bất kỳ thành phần nào trong số này đều có thể chứa lỗ hổng bảo mật hoặc thành phần lỗi thời, làm tăng khả năng phần mềm dễ bị vi phạm an ninh mạng. Szablowski lưu ý: “Hầu hết các công cụ đều cho phép bạn tạo hoặc phân tích SBOM, nhưng chúng không áp dụng phương pháp quản lý chủ động, hợp nhất — cấu trúc, tự động hóa và báo cáo. Các công ty cần hiểu những rủi ro có thể tồn tại trong phần mềm họ sử dụng, cho dù là nguồn mở hay độc quyền. Và các nhà xuất bản phần mềm cần hiểu những rủi ro tiềm ẩn vốn có trong các sản phẩm mà họ cung cấp. Các tổ chức cần củng cố an ninh mạng của họ với mức độ bảo vệ nâng cao mà hệ thống ICSP C-SCRM của Eracent mang lại.”
Về Eracent
Walt Szablowski là Người sáng lập và Chủ tịch điều hành của Eracent, đồng thời là Chủ tịch của các công ty con của Eracent (Eracent SP ZOO, Warsaw, Ba Lan; Eracent Private LTD ở Bangalore, Ấn Độ; và Eracent Brazil). Eracent giúp khách hàng của mình đáp ứng những thách thức trong việc quản lý tài sản mạng CNTT, giấy phép phần mềm và an ninh mạng trong môi trường CNTT phức tạp và đang phát triển ngày nay. Các khách hàng doanh nghiệp của Eracent tiết kiệm đáng kể chi phí phần mềm hàng năm, giảm rủi ro kiểm toán và bảo mật, đồng thời thiết lập các quy trình quản lý tài sản hiệu quả hơn. Cơ sở khách hàng của Eracent bao gồm một số mạng công ty và chính phủ cũng như môi trường CNTT lớn nhất thế giới — USPS, VISA, Lực lượng Không quân Hoa Kỳ, Bộ Quốc phòng Anh — và hàng chục công ty trong danh sách Fortune 500 dựa vào các giải pháp của Eracent để quản lý và bảo vệ mạng của họ. Thăm nom https://eracent.com/.
Tài liệu tham khảo:
1) Venkat, A. (2023, ngày 4 tháng Giêng). Cloudsek cho biết các cuộc tấn công mạng nhằm vào các chính phủ đã tăng 95% trong nửa cuối năm 2022. CSO trực tuyến. Truy cập ngày 23 tháng 2023 năm 3684668, từ csoonline.com/article/95/cyberattacks-against-governments-jumped-2022-in-last-half-of-20-cloudsek say.html#:~:text=The%20number%20of %20tấn công%2nhắm mục tiêu,AI%20Ddựa%20an ninh mạng%20company%XNUMXCloudSek
2) Fleck, A., Richter, F. (2022, ngày 2 tháng 23). Infographic: Tội phạm mạng dự kiến sẽ tăng vọt trong những năm tới Đồ họa thông tin Statista. Truy cập ngày 2023 tháng 28878 năm 2027, từ statista.com/chart/20/expected-cost-of-cybercrime-until-20/#:~:text=Theo%20to%20estimates%20from%2423.84Statista's,to%20%20%202027trillion %XNUMXby%XNUMX
3) Sắc lệnh cải thiện an ninh mạng quốc gia. Cơ quan an ninh cơ sở hạ tầng và an ninh mạng CISA. (nd). Truy cập ngày 23 tháng 2023 năm XNUMX, từ cisa.gov/executive-order-improving-nations-cybersecurity
4) Quỹ Linux. (2022, ngày 13 tháng 23). SBOM là gì? Quỹ Linux. Truy cập ngày 2023 tháng XNUMX năm XNUMX, từ linuxfoundation.org/blog/blog/what-is-an-sbom
5) Christofaro, B. (nd). Các cuộc tấn công mạng là biên giới mới nhất của chiến tranh và có thể tấn công mạnh hơn một thảm họa tự nhiên. đây là lý do tại sao Hoa Kỳ có thể đấu tranh để đối phó nếu nó bị tấn công. Thương nhân trong cuộc. Truy cập ngày 23 tháng 2023 năm 2019, từ businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-4-XNUMX
6) Do Ani Petrosyan xuất bản, 4, S. (2022, ngày 4 tháng 2022). Chi phí vi phạm dữ liệu ở Hoa Kỳ năm 23. Statista. Truy cập ngày 2023 tháng 273575 năm XNUMX, từ statista.com/statistics/XNUMX/us-average-cost-incurred-by-a-data-breach/
7) Malone, K. (2021, ngày 30 tháng 50). Chính phủ liên bang đang vận hành công nghệ 23 năm tuổi – không có kế hoạch cập nhật. CIO Lặn. Truy cập ngày 2023 tháng 599375 năm XNUMX, từ ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/XNUMX/
Chia sẻ bài viết trên phương tiện truyền thông xã hội hoặc email:
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://www.prweb.com/releases/the_governments_software_bill_of_materials_sbom_mandate_is_part_of_a_bigger_cybersecurity_picture/prweb19219949.htm
- :là
- $ LÊN
- 1
- 2021
- 2022
- 2023
- 7
- 84
- 95%
- a
- Có khả năng
- Theo
- trách nhiệm
- ngang qua
- hoạt động
- thêm vào
- địa chỉ
- quản lý
- nhận nuôi
- chống lại
- cơ quan
- cơ quan
- Tất cả
- phân tích
- phân tích
- và
- và cơ sở hạ tầng
- hàng năm
- Các Ứng Dụng
- các ứng dụng
- phương pháp tiếp cận
- Tháng Tư
- LÀ
- bài viết
- AS
- các khía cạnh
- tài sản
- quản lý tài sản
- Tài sản
- tấn công
- kiểm toán
- Tự động
- tự động
- Tự động hóa
- Trung bình cộng
- trở lại
- cơ sở
- BE
- bởi vì
- hưởng lợi
- giữa
- Hóa đơn
- Brazil
- vi phạm
- vi phạm
- Anh
- xây dựng
- kinh doanh
- by
- CAN
- chuỗi
- Ghế
- Chủ tịch
- thách thức
- CIO
- Rõ ràng
- khách hàng
- khách hàng
- mã
- đến
- thương gia
- Các công ty
- so
- hoàn thành
- phức tạp
- thành phần
- các thành phần
- toàn diện
- chứa
- kiểm soát
- Doanh nghiệp
- Phí Tổn
- có thể
- tạo
- quan trọng
- Cơ sở hạ tầng quan trọng
- khách hàng
- khách hàng
- tiên tiến
- không gian mạng
- Tấn công mạng
- tội phạm mạng
- An ninh mạng
- dữ liệu
- vi phạm dữ liệu
- hò
- thập kỷ
- Tháng mười hai
- Phòng thủ
- Xác định
- cung cấp
- chi tiết
- Nhà phát triển
- phát triển
- thiên tai
- hàng chục
- mỗi
- hiệu quả
- cho phép
- nâng cao
- Doanh nghiệp
- môi trường
- đã trang bị
- đặc biệt
- thiết yếu
- thành lập
- Mỗi
- phát triển
- điều hành
- lệnh điều hành
- dự kiến
- Giải thích
- theo hàm mũ
- thêm
- Tháng Hai
- Liên bang
- Chính quyền liên bang
- Tên
- sau
- Trong
- Chính thức
- Vận may
- Nền tảng
- người sáng lập
- thường xuyên
- từ
- Frontier
- GAO
- được
- Toàn cầu
- Chính phủ
- văn phòng Kiểm toán Chính phủ
- Văn phòng trách nhiệm chính phủ (GAO)
- Chính phủ
- Phát triển
- Một nửa
- phần cứng
- Có
- giúp
- tại đây
- Đánh
- House
- Tuy nhiên
- HTTPS
- xác định
- xác định
- hình ảnh
- cải thiện
- in
- bao gồm
- Tăng lên
- tăng
- tăng
- Ấn Độ
- hệ thống riêng biệt,
- infographic
- thông tin
- Cơ sở hạ tầng
- vốn có
- Insider
- ngay lập tức
- Thông minh
- hàng tồn kho
- Ban hành
- IT
- ITS
- Tháng một
- Nhảy
- Key
- nổi tiếng
- lớn
- lớn hơn
- lớn nhất
- Họ
- Legacy
- Cấp
- thư viện
- Thư viện
- giấy phép
- linux
- nền tảng linux
- Danh sách
- Liệt kê
- còn
- Ltd
- Đa số
- làm cho
- quản lý
- quản lý
- quản lý
- Nhiệm vụ
- Trận đấu
- nguyên vật liệu
- các biện pháp
- Phương tiện truyền thông
- Gặp gỡ
- triệu
- hàng triệu
- Bộ
- Giảm nhẹ
- giảm nhẹ
- Modules
- chi tiết
- hiệu quả hơn
- hầu hết
- quốc gia
- quốc dân
- Quốc
- Tự nhiên
- cần thiết
- Cần
- mạng
- mạng
- Mới nhất
- tin tức
- Chú ý
- con số
- Quan sát
- lỗi thời
- of
- cung cấp
- Cung cấp
- Office
- on
- ONE
- Trực tuyến
- mã nguồn mở
- mã nguồn mở
- Các lựa chọn
- gọi món
- cơ quan
- tổ chức
- một phần
- thời gian
- mảnh
- kế hoạch
- nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Ba Lan
- tiềm năng
- riêng
- Các công ty tư nhân
- Chủ động
- quá trình
- Quy trình
- Sản phẩm
- Sản phẩm
- chương trình
- độc quyền
- bảo vệ
- bảo vệ
- cho
- cung cấp
- công bố
- nhà xuất bản
- nhà xuất bản
- Mau
- Đọc
- nhận ra
- giảm
- Mối quan hệ
- báo cáo
- Báo cáo
- cần phải
- đòi hỏi
- Kết quả
- Richter
- Nguy cơ
- rủi ro
- chạy
- chạy
- s
- tương tự
- Lưu
- nói
- Thứ hai
- Ngành
- an ninh
- Rủi ro bảo mật
- Tháng Chín
- phục vụ
- đáng kể
- duy nhất
- tăng vọt
- Mạng xã hội
- truyền thông xã hội
- Phần mềm
- Nhà phát triển phần mềm
- Giải pháp
- một số
- nguồn
- tiêu
- Tiêu chuẩn
- ở lại
- Chiến lược
- đình công
- cấu trúc
- cấu trúc
- Đấu tranh
- cung cấp
- chuỗi cung ứng
- quản lý chuỗi cung ứng
- hỗ trợ
- Hỗ trợ
- Hỗ trợ
- hệ thống
- hệ thống
- dùng
- Công nghệ
- viễn thông
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- Kia là
- số ba
- thời gian
- đến
- hôm nay
- công cụ
- công cụ
- hàng đầu
- Nghìn tỷ
- chúng tôi
- Chính phủ Mỹ
- hiểu
- độc đáo
- up-to-date
- Cập nhật
- us
- sử dụng
- Lớn
- thị thực
- khả năng hiển thị
- Truy cập
- Lỗ hổng
- dễ bị tổn thương
- Dễ bị tổn thương
- chiến tranh
- Warsaw
- Điều gì
- Là gì
- liệu
- cái nào
- trắng
- Nhà Trắng
- CHÚNG TÔI LÀ
- sẽ
- với
- ở trong
- thế giới
- khắp thế giới
- sẽ
- năm
- Bạn
- zephyrnet
- VƯỜN BÁCH THÚ