Выявление скрытых рисков в вашем программном обеспечении: сила SBOM

Выявление скрытых рисков в вашем программном обеспечении: сила SBOM

4 февраля 2023 г.

Список материалов (BOM) – это бухгалтерский термин, описывающий учет сырья, узлов и расходных материалов, используемых для создания продукта. Он служит руководством для производства, а также используется для управления запасами, оценки затрат и управления инженерными изменениями.

Точно так же в спецификации программного обеспечения (SBOM) перечислены все компоненты и зависимости, необходимые для создания и развертывания программного приложения. Он включает такую ​​информацию, как номер версии, лицензия и репозиторий исходного кода для каждого элемента. Разработчики программного обеспечения используют SBOM для управления процессом разработки программного обеспечения и обеспечения включения всех необходимых компонентов в конечный продукт. Он также играет жизненно важную роль в обеспечении безопасности программного обеспечения, выявляя потенциальные уязвимости в компонентах, используемых в приложении. . Наконец, это также помогает обеспечить соответствие любым применимым законодательным или нормативным требованиям, связанным с программным обеспечением.

Растущее использование стороннего программного обеспечения и программного обеспечения с открытым исходным кодом в современных приложениях вызывает потребность в SBOM. Эти компоненты часто имеют уязвимости и риски безопасности, что затрудняет их эффективное отслеживание и управление организациями без SBOM.

кибератака SolarWinds, обнаруженная в Декабрь 2020 года — яркий пример того, как злоумышленники использовали уязвимости программного обеспечения с открытым исходным кодом с разрушительными последствиями. Атака была нацелена на несколько государственных учреждений, в том числе министерство финансов и торговли США, а также компании частного сектора.

Злоумышленники использовали атаку на цепочку поставок, чтобы скомпрометировать SolarWinds, техасскую компанию-разработчика программного обеспечения, которая предоставляет I.T. инструменты управления и мониторинга для государственных органов и частных компаний. Затем они использовали обновления программного обеспечения от SolarWinds для распространения вредоносного ПО среди клиентов компании, позволяя им получить доступ к сетям целевых организаций.

Атака отличалась масштабом, а также уровнем сложности. Злоумышленникам удавалось избегать обнаружения в течение нескольких месяцев, пока они собирали информацию и извлекали данные из сетей целевых организаций. Атака привела к повышению осведомленности о важности безопасности цепочки поставок и необходимости для организаций иметь спецификацию программного обеспечения (SBOM) и отслеживать сторонние программные компоненты на наличие уязвимостей.

Распоряжение о кибербезопасности 14028, подписанное президентом Джо Байденом 26 января. , 2021, направлен на укрепление кибербезопасности федерального правительства и его сетей и включает в себя спецификацию программного обеспечения (SBOM). Цель состоит в том, чтобы повысить прозрачность и подотчетность поставщиков программного обеспечения, а также повысить способность организаций выявлять и устранять уязвимости в используемом ими программном обеспечении.

Приказ предписывает Агентству кибербезопасности и безопасности инфраструктуры (CISA) разработать рекомендации по созданию и использованию SBOM и работать с частным сектором для поощрения использования SBOM при разработке программного обеспечения. Кроме того, он предписывает федеральным агентствам оценить использование SBOM в своих процессах разработки программного обеспечения и рассмотреть возможность использования SBOM в качестве требования при закупке программного обеспечения.

SBOM служит исчерпывающим перечнем компонентов программного обеспечения и дает представление о составе программного обеспечения и любых уязвимостях, которые могут существовать. В последние годы SBOM становятся все более распространенными, поскольку организации стремятся повысить прозрачность и подотчетность поставщиков программного обеспечения, расширяя при этом их способность выявлять и устранять уязвимости в используемом ими программном обеспечении. В этой статье мы исследуем преимущества и недостатки SBOM и их влияние на безопасность программного обеспечения.

Одним из основных преимуществ SBOM является то, что они дают организациям четкое представление об используемом программном обеспечении. Имея исчерпывающую инвентаризацию компонентов и версий программного обеспечения, организации могут легче выявлять любые уязвимости в программном обеспечении. Эта информация об уязвимостях необходима для систем критической инфраструктуры и других приложений с высоким риском, где даже единичное воздействие может иметь серьезные последствия. С помощью SBOM организации могут быстро выявлять и устранять уязвимости, снижая риск успешной кибератаки.

SBOM также обеспечивают организациям большую прозрачность и подотчетность в отношении поставщиков программного обеспечения. Предоставление организациям доступа к подробной информации о компонентах программного обеспечения может помочь лучше понять состав программного обеспечения и связанные с ним риски.

Организации могут использовать эту информацию для оценки методов обеспечения безопасности поставщиков программного обеспечения и принятия более обоснованных решений о том, с какими поставщиками сотрудничать. Кроме того, SBOM можно использовать для отслеживания разработки программного обеспечения с течением времени, что может помочь организациям определить, когда поставщик внес изменения, которые могут повлиять на безопасность программного обеспечения.

Еще одним преимуществом SBOM является то, что они могут помочь организациям автоматизировать свои процессы управления уязвимостями. Организации могут легче выявлять уязвимости и приоритизировать их, имея подробную инвентаризацию компонентов программного обеспечения. Эта информация может помочь организациям более эффективно управлять своими усилиями по устранению уязвимостей, снижая риск успешной кибератаки. Кроме того, SBOM можно интегрировать с другими инструментами безопасности, такими как сканеры уязвимостей, для автоматизации обнаружения и устранения уязвимостей.

Несмотря на множество преимуществ SBOM, есть и некоторые потенциальные недостатки. Одним из основных недостатков является то, что создание и поддержка SBOM может занимать много времени и ресурсов. Эта задача особенно актуальна для больших и сложных программных систем с сотнями или даже тысячами компонентов. Кроме того, SBOM может быть сложно поддерживать с течением времени, поскольку программные компоненты обновляются, заменяются или удаляются.

Еще одним потенциальным недостатком является то, что SBOM могут быть точными или полными лишь иногда. Поставщики программного обеспечения могут лишь иногда предоставлять полную информацию о своих программных компонентах, или эта информация должна быть более точной. Неполная информация может затруднить для организаций полное понимание состава и уязвимостей программного обеспечения. Кроме того, SBOM могут лишь иногда включать информацию о сторонних компонентах программного обеспечения, что затрудняет для организаций выявление и устранение уязвимостей в этих компонентах.

Кроме того, SBOM могут стать мишенью для самих злоумышленников, поскольку они предоставляют подробную карту компонентов и уязвимостей программного обеспечения. Злоумышленники могут использовать эту информацию для выявления наиболее критических уязвимостей для эксплуатации и использования SBOM для разработки более эффективных методов атаки. Кроме того, SBOM также может содержать конфиденциальную информацию о программном обеспечении и его уязвимостях, которую злоумышленники могут использовать, если получат доступ к SBOM.

Наконец, существует также проблема стандартизации SBOM. Поскольку SBOM — это относительно новая концепция, в настоящее время необходим стандартный формат для SBOM, что может затруднить их эффективное использование организациями. Кроме того, поставщики программного обеспечения могут использовать разные форматы для своих SBOM, что усложняет процесс понимания их информации.

SBOM могут быть эффективным инструментом для организаций, позволяющим повысить безопасность своего программного обеспечения и управлять рисками, связанными с цепочками поставок программного обеспечения. Организации, которые потратят время на комплексное и стандартизированное внедрение SBOM, смогут улучшить безопасность своего программного обеспечения и защитить свои системы и клиентов от новых киберугроз.

Ссылки:


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE