SBOM 毫无意义,除非它们是识别整个软件供应链管理系统中的风险和漏洞的更大战略的一部分。
宾夕法尼亚州里格尔斯维尔 (PRWEB) 2023 年 3 月 13 日
与 95 年同期相比,2022 年下半年全球针对政府部门的网络攻击数量增加了 2021%。(1) 全球网络攻击成本预计将从 8.44 年的 2022 万亿美元呈指数级增长到 23.84 年的 2027 万亿美元2.(14028) 为支持国家的关键基础设施和联邦政府网络,白宫于 2021 年 3 月发布了第 XNUMX 号行政命令,“改善国家的网络安全”。(XNUMX) EO 定义了任何软件必须遵循的安全措施与联邦政府有业务往来的出版商或开发商。 其中一项措施要求所有软件开发人员提供软件物料清单 (SBOM),这是构成软件应用程序的组件和库的完整清单。 Walt Szablowski,创始人兼执行主席 古怪的二十多年来一直为其大型企业客户的网络提供完整可见性的公司观察到,“SBOM 毫无意义,除非它们是识别整个软件供应链管理系统中的风险和漏洞的更大战略的一部分。”
美国国家电信和信息管理局 (NTIA) 将软件物料清单定义为“构建给定软件所需的完整、正式结构化的组件、库和模块列表以及它们之间的供应链关系。”( 4) 美国特别容易受到网络攻击,因为它的大部分基础设施由私营公司控制,这些公司可能不具备阻止攻击所需的安全级别。(5) SBOM 的主要好处是它们使组织能够识别构成软件应用程序的任何组件是否存在可能造成安全风险的漏洞。
虽然美国政府机构将被强制采用 SBOM,但商业公司显然会从这种额外的安全级别中受益。 截至 2022 年,美国数据泄露的平均成本为 9.44 万美元,全球平均成本为 4.35 万美元。(6) 根据政府问责局 (GAO) 的一份报告,联邦政府运行着三个可追溯至五个十年。 GAO 警告说,这些过时的系统增加了安全漏洞,并且经常在不再受支持的硬件和软件上运行。 (7)
Szablowski 解释说:“每个组织在使用 SBOM 时都必须解决两个关键方面。 首先,他们必须有一个工具可以快速读取 SBOM 中的所有详细信息,将结果与已知的漏洞数据进行匹配,并提供提醒报告。 其次,他们必须能够建立一个自动化的、主动的流程,以掌握与 SBOM 相关的活动以及每个组件或软件应用程序的所有独特缓解选项和流程。”
Eracent 的尖端智能网络安全平台 (ICSP)™ 网络供应链风险管理™ (C-SCRM) 模块 其独特之处在于它支持这两个方面,以提供额外的、关键的保护级别,以最大限度地减少基于软件的安全风险。 这在启动一个主动的、自动化的 SBOM 程序时是必不可少的。 ICSP C-SCRM 提供具有即时可见性的全面保护,以减轻任何组件级漏洞。 它识别也会增加安全风险的过时组件。 该过程自动读取 SBOM 中的逐项详细信息,并使用 Eracent 的 IT-Pedia® IT 产品数据库将每个列出的组件与最新的漏洞数据进行匹配——这是一个关于数百万 IT 硬件和软件的基本数据的单一权威来源。软件产品。”
绝大多数商业和定制应用程序都包含开源代码。 标准的漏洞分析工具不会仔细检查应用程序中的单个开源组件。 但是,这些组件中的任何一个都可能包含漏洞或过时的组件,从而增加了软件对网络安全漏洞的敏感性。 Szablowski 指出,“大多数工具都可以让您创建或分析 SBOM,但它们并没有采用整合的、主动的管理方法——结构、自动化和报告。 公司需要了解他们使用的软件中可能存在的风险,无论是开源软件还是专有软件。 软件发行商需要了解他们提供的产品所固有的潜在风险。 组织需要通过 Eracent 的 ICSP C-SCRM 系统提供的更高级别的保护来加强他们的网络安全。”
关于 Eracent
Walt Szablowski 是 Eracent 的创始人兼执行主席,并担任 Eracent 子公司(波兰华沙的 Eracent SP ZOO;印度班加罗尔的 Eracent Private LTD;和巴西的 Eracent)的主席。 Eracent 帮助其客户应对在当今复杂且不断发展的 IT 环境中管理 IT 网络资产、软件许可证和网络安全的挑战。 Eracent 的企业客户每年可显着节省软件支出,降低审计和安全风险,并建立更高效的资产管理流程。 Eracent 的客户群包括一些世界上最大的企业和政府网络和 IT 环境——USPS、VISA、美国空军、英国国防部——以及数十家财富 500 强公司依靠 Eracent 解决方案来管理和保护他们的网络。 访问 https://eracent.com/.
参考文献:
1) Venkat, A.(2023 年,4 月 95 日)。 Cloudsek 表示,在 2022 年下半年,针对政府的网络攻击猛增了 23%。 公民社会组织在线。 2023 年 3684668 月 95 日检索自 csoonline.com/article/2022/cyberattacks-against-governments-jumped-20-in-last-half-of-20-cloudsek says.html#:~:text=The%20number%20of %2attacks%20targeting,AI%20Dbased%20cybersecurity%XNUMXcompany%XNUMXCloudSek
2) Fleck, A., Richter, F.(2022 年,2 月 23 日)。 信息图:网络犯罪预计将在未来几年激增。 Statista 信息图表。 2023 年 28878 月 2027 日检索自 statista.com/chart/20/expected-cost-of-cybercrime-until-20/#:~:text=According%20to%20estimates%20from%2423.84Statista's,to%20%20%202027trillion %XNUMXby%XNUMX
3) 关于改善国家网络安全的行政命令。 网络安全和基础设施安全局 CISA。 (nd). 23 年 2023 月 XNUMX 日检索自 cisa.gov/executive-order-improving-nations-cybersecurity
4) Linux 基金会。 (2022 年 13 月 23 日)。 什么是 SBOM? Linux基金会。 2023 年 XNUMX 月 XNUMX 日检索自 linuxfoundation.org/blog/blog/what-is-an-sbom
5) Christofaro, B. (nd)。 网络攻击是最新的战争前沿,其打击比自然灾害更严重。 这就是为什么美国在受到打击时可能难以应对的原因。 商业内幕。 23 年 2023 月 2019 日检索自 businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-4-XNUMX
6) 由 Ani Petrosyan 出版,4, S.(2022 年,4 月 2022 日)。 23 年美国数据泄露的成本。Statista。 2023 年 273575 月 XNUMX 日检索自 statista.com/statistics/XNUMX/us-average-cost-incurred-by-a-data-breach/
7) Malone, K.(2021 年,30 月 50 日)。 联邦政府正在运行 23 年历史的技术——没有更新计划。 首席信息官潜水。 2023 年 599375 月 XNUMX 日检索自 ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/XNUMX/
分享社交媒体或电子邮件的文章:
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://www.prweb.com/releases/the_governments_software_bill_of_materials_sbom_mandate_is_part_of_a_bigger_cybersecurity_picture/prweb19219949.htm
- :是
- $UP
- 1
- 2021
- 2022
- 2023
- 7
- 84
- 95%
- a
- Able
- 根据
- 问责制
- 横过
- 活动
- 额外
- 地址
- 管理
- 采用
- 驳
- 机构
- 机构
- 所有类型
- 分析
- 分析
- 和
- 和基础设施
- 全年
- 应用领域
- 应用领域
- 的途径
- 四月
- 保健
- 刊文
- AS
- 方面
- 财富
- 资产管理
- 办公室文员:
- 攻击
- 审计
- 自动化
- 自动
- 自动化和干细胞工程
- 背部
- 基地
- BE
- 因为
- 得益
- 之间
- 法案
- 巴西
- 违反
- 违规
- 英国的
- 建立
- 商业
- by
- CAN
- 链
- 椅子
- 主席
- 挑战
- CIO
- 明确地
- 客户
- 客户
- 码
- 未来
- 商业的
- 公司
- 相比
- 完成
- 复杂
- 元件
- 组件
- 全面
- 包含
- 受控
- 公司
- 价格
- 可以
- 创建信息图
- 危急
- 关键基础设施
- 习俗
- 合作伙伴
- 前沿
- 网络
- 网络攻击
- 网络犯罪
- 网络安全
- data
- 数据泄露
- 成人约会
- 几十年
- 十二月
- 国防
- 定义
- 提供
- 详情
- 开发商
- 开发
- 灾害
- 几十个
- 每
- 高效
- 邮箱地址
- enable
- 增强
- 企业
- 环境中
- 配备
- 特别
- 必要
- 建立
- 所有的
- 演变
- 执行
- 行政命令
- 预期
- 介绍
- 成倍
- 额外
- 二月
- 联邦
- 联邦政府
- 姓氏:
- 其次
- 针对
- 正式地
- 运气
- 基金会
- 创办人
- 频繁
- 止
- 边疆
- GAO
- 特定
- 全球
- 政府
- 政府问责局
- 政府问责办公室(GAO)
- 各国政府
- 增长
- 半
- 硬件
- 有
- 帮助
- 相关信息
- 击中
- 别墅
- 但是
- HTTPS
- 识别
- 鉴定
- 图片
- 改善
- in
- 包括
- 增加
- 增加
- 增加
- 印度
- 个人
- 信息图表
- 信息
- 基础设施
- 固有
- 内幕
- 即食类
- 智能化
- 库存
- 发行
- IT
- 它的
- 一月
- 跳楼
- 键
- 已知
- 大
- 大
- 最大
- 名:
- 遗产
- Level
- 库
- 自学资料库
- 许可证
- Linux的
- linux基金会
- 清单
- 已发布
- 不再
- 公司
- 多数
- 使
- 管理
- 颠覆性技术
- 管理的
- 要求
- 匹配
- 物料
- 措施
- 媒体
- 满足
- 百万
- 百万
- 事工
- 减轻
- 减轻
- 模块
- 更多
- 更高效
- 最先进的
- 国家
- National
- 联合国
- 自然
- 必要
- 需求
- 网络
- 网络
- 最新
- 消息
- 数
- 观察
- 过时的
- of
- 提供
- 优惠精选
- 办公
- on
- 一
- 在线
- 开放源码
- 开源代码
- 附加选项
- 秩序
- 组织
- 组织
- 部分
- 期间
- 片
- 计划
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 波兰
- 潜力
- 私立
- 私人公司
- 主动
- 过程
- 过程
- 产品
- 核心产品
- 曲目
- 所有权
- 保护
- 保护
- 提供
- 提供
- 出版
- 发行人
- 出版商
- 很快
- 阅读
- 认识
- 减少
- 关系
- 报告
- 报告
- 必须
- 需要
- 成果
- 里希特
- 风险
- 风险
- 运行
- 运行
- s
- 同
- 保存
- 说
- 其次
- 行业
- 保安
- 安全风险
- 九月
- 服务
- 显著
- 单
- 平步青云
- 社会
- 社会化媒体
- 软件
- 软件开发者
- 解决方案
- 一些
- 来源
- 花
- 标准
- 留
- 策略
- 罢工
- 结构体
- 结构化
- 奋斗
- 供应
- 供应链
- 供应链管理
- SUPPORT
- 支持
- 支持
- 系统
- 产品
- 服用
- 专业技术
- 电信
- 这
- 其
- 他们
- 博曼
- 三
- 次
- 至
- 今天的
- 工具
- 工具
- 最佳
- 兆
- 我们
- 美国政府
- 理解
- 独特
- 跟上时代的
- 最新动态
- us
- 使用
- 广阔
- 签证
- 能见度
- 参观
- 漏洞
- 漏洞
- 脆弱
- 战争
- 华沙
- 什么是
- 什么是
- 是否
- 这
- 白色
- 白宫
- WHO
- 将
- 中
- 世界
- 全世界
- 将
- 年
- 完全
- 和风网
- 动物园