صورتحساب مواد نرم‌افزاری (SBOM) ابزار مهمی است که مدافعان سازمانی می‌توانند از آن برای ردیابی تأثیر اشکالات امنیتی نرم‌افزار، مدیریت مدیریت وصله‌های منطقی و محافظت از یکپارچگی زنجیره تأمین نرم‌افزار به‌عنوان یک کل استفاده کنند. تعداد زیادی از رهبران صنعت این را می گویند. را دفتر رئیس جمهور ایالات متحده این را می گوید.

پس چرا هنوز به طور گسترده مورد استفاده قرار نگرفته اند؟ فروشندگان نرم افزار نگران چه چیزی هستند؟ آیا آنها چیزی می دانند که ما نمی دانیم؟

در یک مجمع اخیر CISO در وایت هال لندن، بسیاری از CISOها احساس کردند که چالش ها و سرعت تغییر در امنیت برنامه ها، به ویژه در محیط های فعال ابری، آنها را کمی بی رمق و چالش برانگیز برای تغییر مدل های معماری و تفکر برای تبدیل شدن به کامل کرده است. بومی ابر به ویژه، تمایلی به کنار گذاشتن روش‌های کنترل قدیمی مانند فهرست‌های دسترسی مبتنی بر IP و کنترل‌های امنیتی مبتنی بر نقطه پایانی وجود نداشت.

مردد برای خاموش کردن SBOM

چندین احتمال جالب وجود دارد که ممکن است تمایل به تاخیر در ارائه SBOM ها را تحریک کند.

اول است ناآگاهی از زنجیره تامین خود. این امکان وجود دارد که فروشندگان واقعاً منشأ برخی از نرم افزارهای خود را ندانند. در تیم‌های توسعه‌دهنده بزرگ و پروژه‌های پیچیده و طولانی که به طور مؤثر بخش‌های کد را «جعبه سیاه» می‌کنند، رایج است.

اگر اینطور باشد، این واقعیت که سازمان ممکن است به طور کامل از منشأ نرم افزار خود مطلع نباشد، نگرانی های بی شماری را ایجاد می کند. این می تواند هر چیزی را از ردیابی نسخه بد گرفته تا وجود کارمندان ضروری بالقوه نشان دهد که سرنوشت کل شرکت را در دستان کدنویس خود نگه می دارند. کاملاً قابل درک است که چنین شرکتی در انتشار SBOM برای محصولات خود تردید کند.

سناریوی دیگری که ممکن است یک شرکت را نسبت به SBOM ها ناامید کند، این است اگر محصول تقریباً به طور کامل مجموعه ای از محصولات دیگر باشد. این واقعیت توسعه نرم افزار مدرن است که برنامه ها نتیجه کدهای سفارشی هستند که با کتابخانه ها و مؤلفه های شخص ثالث ترکیب شده اند. اگر شرکت درصد بسیار کمی از کد خود را نوشته باشد، در آن صورت SBOM اساسا می‌تواند به کارت دستور غذا برای شخص دیگری تبدیل شود تا محصول را شبیه‌سازی کند.

اما سناریوی محتمل این است که شرکت های نرم افزاری ممکن است هیچ چیز مثبتی را نمی بینید، فقط جنبه منفی بالقوه را مشاهده می کنید برای انتشار SBOM ها در حال حاضر فشار بازار بسیار کمی برای انتشار SBOM برای خطوط تولید آنها وجود دارد. آنها ممکن است یکی را برای استفاده داخلی ایجاد کرده باشند، اما هیچ فشار واقعی برای عمومی کردن آنها وجود ندارد. نگرانی اصلی بیان شده توسط CISO این است که در حالی که یک SBOM ممکن است دید را بهبود بخشد، انگیزه کمی برای اصلاح ایجاد می‌کند و هیچ مسئولیتی در قبال رفع نقص‌های نرم‌افزاری ندارد - مشکل را کاملاً در دامان کاربر نهایی، CISO می‌گذارد.

عبور از SBOM

بعید است که صنعت یا مردم خریدار بتوانند فشار بازار مورد نیاز برای وادار کردن هر بازیگر اصلی را برای انتشار SBOM برای همه محصولات خود ایجاد کنند. در ماه مه 2021، دولت ایالات متحده حکم اجرایی صادر کرد برای بهبود امنیت سایبری کشور که صراحتاً SBOM ها را به عنوان یک اقدام کنترلی برای زنجیره تامین نرم افزار فراخوانده است. دولت اتحادیه اروپا، به نوبه خود، برنامه ریزی کرده است پیشنهاد تاب آوری سایبری برای تکرار و حمایت از الزامات دستور ایالات متحده.

اگر هدف اصلی یک SBOM مدیریت وصله و تخصیص آسیب‌پذیری باشد، یک لایه ثانویه از نظارت و حفاظت وجود دارد که پرسنل امنیت سایبری باید به آن نگاه کنند: مدیریت سطح حمله (ASM).

اگرچه برای تیم‌های امنیتی سازمانی کمی آسان‌تر است که بدانند نرم‌افزاری که استفاده می‌کنند حاوی بسته‌های X، Y و Z است، اما این تنها راه برای مدیریت امنیت برنامه‌ها نیست. با ردیابی تاریخچه مشاوره امنیتی این مجموعه‌های نرم‌افزاری، می‌توانیم محتمل‌ترین بردارهای حمله‌ای را که می‌توانند قربانی آن شوند، تخمین بزنیم.

ترکیبی از این آسیب‌پذیری‌ها از هر نرم‌افزاری که یک شرکت استفاده می‌کند، سطح حمله یک سازمان را تشکیل می‌دهد. آنچه ASM سعی می کند انجام دهد این است که به طور هوشمندانه این نقاط ضعف را طبقه بندی کرده و کشف، اصلاح و نظارت مستمر تهدیدات جدید را خودکار کند.

مثل این است که یک سرویس مشاوره آسیب‌پذیری را با یک راه‌حل مدیریت نرم‌افزار سازمانی به هم متصل کنید. روشی که ASM این کار را انجام می دهد از محصولی به محصول دیگر متفاوت است، اما به طور کلی مقداری متفاوت است فراگیری ماشین شامل. به این ترتیب می‌توان مدل‌های پیش‌بینی‌کننده را به‌گونه‌ای ساخت که وقتی اکسپلویت‌های روز صفر مشخصی کشف می‌شوند، می‌دانید که چقدر احتمال دارد در سطح حمله شما اعمال شوند، حتی اگر SBOM دقیقی از هر فروشنده‌ای نداشته باشید.

یک ASM خوب مزیت دیگری دارد که با اردک ها مانند اردک رفتار می کند. می دانید: اگر به نظر می رسد مانند یک اردک است و مانند یک اردک است، واقعاً مهم نیست که شخص دیگری به جای آن برچسب قو را به آن بزند. ASM فقط به نتایج اهمیت می دهد. اگر شرکتی اصرار داشته باشد که از Open Dynamics Engine استفاده می‌کند، اما به دلایلی مرموز قربانی آسیب‌پذیری‌های مشابه موتور PhysX شود، ASM به طور کامل برچسب‌ها را نادیده می‌گیرد و راه‌حل‌هایی را پیشنهاد می‌کند که در واقع متناسب با وضعیت هستند و نه مواردی که مطابقت دارند. به نام ها

حتی اگر حرکت به سمت پذیرش جریان اصلی SBOM به کندی ادامه دهد، متخصصان امنیتی یک جایگزین قوی با ASM دارند. همچنین شایان ذکر است که ASM هرگونه حاکمیت نرم افزاری مبتنی بر SBOM را با یک سیستم کاهش ریسک پویا تکمیل می کند.

به جای اتخاذ و استقرار چیزی به صورت محلی برای پوشش نیازهای کشف آسیب‌پذیری و نظارت، جایگزینی دیگر استفاده از یک مدل امنیتی بدون عامل است که می‌تواند سطوح حملات گسترده دارایی را نظارت کند. شرکت اطلاعات دستگاه ارمیسبرای مثال، این کار را با یک رویکرد کاملاً بومی ابری انجام می دهد. آن را به عنوان یک راه حل ASM در نظر بگیرید که دستگاه های IoT، نمونه های ابری، و تنظیمات شبکه لبه و همچنین داخلی های سنتی را پوشش می دهد.

چنین مدلی روشی متفاوت و جهانی‌تر برای نگاه کردن به هوشمندی دارایی ارائه می‌دهد که ممکن است برای عملیات‌های بزرگ سازمانی جذاب‌تر باشد. با این حال، عملیات‌های کوچک‌تر احتمالاً می‌خواهند پول خود را برای یک ASM خوب پس انداز کنند و به هوشیاری بیشتر برای دستگاه‌های شبکه گسترده خود متکی باشند.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
• منبع: https://www.darkreading.com/dr-tech/waiting-for-sbom-take-a-look-at-asm