Nhiệm vụ Dự luật Nguyên liệu Phần mềm (SBOM) của Chính phủ là một phần của…

SBOM là vô nghĩa trừ khi chúng là một phần của chiến lược lớn hơn xác định các rủi ro và lỗ hổng trong hệ thống quản lý chuỗi cung ứng phần mềm.

RIEGELSVILLE, Pa. (PRWEB) 13 Tháng ba, 2023

Số lượng các cuộc tấn công mạng nhằm vào các cơ quan chính phủ trên toàn thế giới đã tăng 95% trong nửa cuối năm 2022 so với cùng kỳ năm 2021. (1) Chi phí toàn cầu cho các cuộc tấn công mạng dự kiến ​​sẽ tăng theo cấp số nhân từ 8.44 nghìn tỷ USD năm 2022 lên 23.84 nghìn tỷ USD vào năm 2027. 2.(14028) Để hỗ trợ cơ sở hạ tầng quan trọng của quốc gia và các mạng của Chính phủ Liên bang, Nhà Trắng đã ban hành Sắc lệnh Hành pháp 2021, “Cải thiện An ninh mạng của Quốc gia” vào tháng 3 năm XNUMX. (XNUMX) EO xác định các biện pháp bảo mật mà bất kỳ phần mềm nào cũng phải tuân theo nhà xuất bản hoặc nhà phát triển kinh doanh với Chính phủ Liên bang. Một trong những biện pháp này yêu cầu tất cả các nhà phát triển phần mềm cung cấp Hóa đơn tài liệu phần mềm (SBOM), một danh sách kiểm kê đầy đủ các thành phần và thư viện bao gồm một ứng dụng phần mềm. Walt Szablowski, Người sáng lập và Chủ tịch điều hành của kỷ nguyên, đã cung cấp khả năng hiển thị đầy đủ vào mạng của các khách hàng doanh nghiệp lớn trong hơn hai thập kỷ, nhận xét: “SBOM là vô nghĩa trừ khi chúng là một phần của chiến lược lớn hơn giúp xác định rủi ro và lỗ hổng trong hệ thống quản lý chuỗi cung ứng phần mềm.”

Cục Quản lý Thông tin và Viễn thông Quốc gia (NTIA) định nghĩa Danh mục Nguyên liệu Phần mềm là “một danh sách hoàn chỉnh, có cấu trúc chính thức gồm các thành phần, thư viện và mô-đun được yêu cầu để xây dựng một phần mềm nhất định và mối quan hệ chuỗi cung ứng giữa chúng.”( 4) Hoa Kỳ đặc biệt dễ bị tấn công mạng vì phần lớn cơ sở hạ tầng của họ được kiểm soát bởi các công ty tư nhân, những công ty này có thể không được trang bị mức độ bảo mật cần thiết để ngăn chặn một cuộc tấn công.(5) Lợi ích chính của SBOM là chúng cho phép các tổ chức xác định liệu có bất kỳ thành phần nào tạo nên một ứng dụng phần mềm có lỗ hổng bảo mật có thể tạo ra rủi ro bảo mật hay không.

Trong khi các cơ quan chính phủ Hoa Kỳ sẽ được ủy quyền áp dụng SBOM, các công ty thương mại rõ ràng sẽ được hưởng lợi từ mức độ bảo mật bổ sung này. Tính đến năm 2022, chi phí trung bình của một vụ vi phạm dữ liệu ở Hoa Kỳ là 9.44 triệu đô la, với mức trung bình trên toàn cầu là 4.35 triệu đô la.(6) Theo báo cáo của Văn phòng Trách nhiệm giải trình Chính phủ (GAO), Chính phủ Liên bang vận hành ba hệ thống công nghệ kế thừa có niên đại năm thập kỷ. GAO cảnh báo rằng những hệ thống lỗi thời này làm gia tăng các lỗ hổng bảo mật và thường chạy trên phần cứng và phần mềm không còn được hỗ trợ.(7)

Szablowski giải thích, “Có hai khía cạnh chính mà mọi tổ chức sẽ phải giải quyết khi sử dụng SBOM. Đầu tiên, họ phải có một công cụ có thể đọc nhanh tất cả các chi tiết trong SBOM, khớp kết quả với dữ liệu lỗ hổng đã biết và cung cấp báo cáo trực tiếp. Thứ hai, họ phải có khả năng thiết lập một quy trình chủ động, tự động để luôn cập nhật hoạt động liên quan đến SBOM và tất cả các tùy chọn và quy trình giảm thiểu duy nhất cho từng thành phần hoặc ứng dụng phần mềm.”

Mô-đun Nền tảng an ninh mạng thông minh (ICSP)™ tiên tiến của Eracent™ Quản lý rủi ro chuỗi cung ứng không gian mạng™ (C-SCRM) là duy nhất ở chỗ nó hỗ trợ cả hai khía cạnh này để cung cấp mức độ bảo vệ bổ sung, quan trọng nhằm giảm thiểu rủi ro bảo mật dựa trên phần mềm. Điều này là cần thiết khi bắt đầu một chương trình SBOM chủ động, tự động. ICSP C-SCRM cung cấp khả năng bảo vệ toàn diện với khả năng hiển thị tức thời để giảm thiểu mọi lỗ hổng ở cấp độ thành phần. Nó nhận ra các thành phần lỗi thời cũng có thể làm tăng rủi ro bảo mật. Quá trình này sẽ tự động đọc các chi tiết được chia thành từng mục trong SBOM và khớp từng thành phần được liệt kê với dữ liệu dễ bị tổn thương cập nhật nhất bằng Thư viện Dữ liệu Sản phẩm CNTT IT-Pedia® của Eracent — một nguồn duy nhất, có thẩm quyền cho dữ liệu thiết yếu liên quan đến hàng triệu thiết bị và phần cứng CNTT. sản phẩm phần mềm."

Phần lớn các ứng dụng thương mại và tùy chỉnh chứa mã nguồn mở. Các công cụ phân tích lỗ hổng tiêu chuẩn không xem xét kỹ lưỡng các thành phần nguồn mở riêng lẻ trong các ứng dụng. Tuy nhiên, bất kỳ thành phần nào trong số này đều có thể chứa lỗ hổng bảo mật hoặc thành phần lỗi thời, làm tăng khả năng phần mềm dễ bị vi phạm an ninh mạng. Szablowski lưu ý: “Hầu hết các công cụ đều cho phép bạn tạo hoặc phân tích SBOM, nhưng chúng không áp dụng phương pháp quản lý chủ động, hợp nhất — cấu trúc, tự động hóa và báo cáo. Các công ty cần hiểu những rủi ro có thể tồn tại trong phần mềm họ sử dụng, cho dù là nguồn mở hay độc quyền. Và các nhà xuất bản phần mềm cần hiểu những rủi ro tiềm ẩn vốn có trong các sản phẩm mà họ cung cấp. Các tổ chức cần củng cố an ninh mạng của họ với mức độ bảo vệ nâng cao mà hệ thống ICSP C-SCRM của Eracent mang lại.”

Về Eracent

Walt Szablowski là Người sáng lập và Chủ tịch điều hành của Eracent, đồng thời là Chủ tịch của các công ty con của Eracent (Eracent SP ZOO, Warsaw, Ba Lan; Eracent Private LTD ở Bangalore, Ấn Độ; và Eracent Brazil). Eracent giúp khách hàng của mình đáp ứng những thách thức trong việc quản lý tài sản mạng CNTT, giấy phép phần mềm và an ninh mạng trong môi trường CNTT phức tạp và đang phát triển ngày nay. Các khách hàng doanh nghiệp của Eracent tiết kiệm đáng kể chi phí phần mềm hàng năm, giảm rủi ro kiểm toán và bảo mật, đồng thời thiết lập các quy trình quản lý tài sản hiệu quả hơn. Cơ sở khách hàng của Eracent bao gồm một số mạng công ty và chính phủ cũng như môi trường CNTT lớn nhất thế giới — USPS, VISA, Lực lượng Không quân Hoa Kỳ, Bộ Quốc phòng Anh — và hàng chục công ty trong danh sách Fortune 500 dựa vào các giải pháp của Eracent để quản lý và bảo vệ mạng của họ. Thăm nom https://eracent.com/. 

Tài liệu tham khảo:
1) Venkat, A. (2023, ngày 4 tháng Giêng). Cloudsek cho biết các cuộc tấn công mạng nhằm vào các chính phủ đã tăng 95% trong nửa cuối năm 2022. CSO trực tuyến. Truy cập ngày 23 tháng 2023 năm 3684668, từ csoonline.com/article/95/cyberattacks-against-governments-jumped-2022-in-last-half-of-20-cloudsek say.html#:~:text=The%20number%20of %20tấn công%2nhắm mục tiêu,AI%20Ddựa%20an ninh mạng%20company%XNUMXCloudSek
2) Fleck, A., Richter, F. (2022, ngày 2 tháng 23). Infographic: Tội phạm mạng dự kiến ​​sẽ tăng vọt trong những năm tới Đồ họa thông tin Statista. Truy cập ngày 2023 tháng 28878 năm 2027, từ statista.com/chart/20/expected-cost-of-cybercrime-until-20/#:~:text=Theo%20to%20estimates%20from%2423.84Statista's,to%20%20%202027trillion %XNUMXby%XNUMX
3) Sắc lệnh cải thiện an ninh mạng quốc gia. Cơ quan an ninh cơ sở hạ tầng và an ninh mạng CISA. (nd). Truy cập ngày 23 tháng 2023 năm XNUMX, từ cisa.gov/executive-order-improving-nations-cybersecurity
4) Quỹ Linux. (2022, ngày 13 tháng 23). SBOM là gì? Quỹ Linux. Truy cập ngày 2023 tháng XNUMX năm XNUMX, từ linuxfoundation.org/blog/blog/what-is-an-sbom
5) Christofaro, B. (nd). Các cuộc tấn công mạng là biên giới mới nhất của chiến tranh và có thể tấn công mạnh hơn một thảm họa tự nhiên. đây là lý do tại sao Hoa Kỳ có thể đấu tranh để đối phó nếu nó bị tấn công. Thương nhân trong cuộc. Truy cập ngày 23 tháng 2023 năm 2019, từ businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-4-XNUMX
6) Do Ani Petrosyan xuất bản, 4, S. (2022, ngày 4 tháng 2022). Chi phí vi phạm dữ liệu ở Hoa Kỳ năm 23. Statista. Truy cập ngày 2023 tháng 273575 năm XNUMX, từ statista.com/statistics/XNUMX/us-average-cost-incurred-by-a-data-breach/
7) Malone, K. (2021, ngày 30 tháng 50). Chính phủ liên bang đang vận hành công nghệ 23 năm tuổi – không có kế hoạch cập nhật. CIO Lặn. Truy cập ngày 2023 tháng 599375 năm XNUMX, từ ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/XNUMX/

Chia sẻ bài viết trên phương tiện truyền thông xã hội hoặc email: