صورتحساب مواد نرمافزاری (SBOM) ابزار مهمی است که مدافعان سازمانی میتوانند از آن برای ردیابی تأثیر اشکالات امنیتی نرمافزار، مدیریت مدیریت وصلههای منطقی و محافظت از یکپارچگی زنجیره تأمین نرمافزار بهعنوان یک کل استفاده کنند. تعداد زیادی از رهبران صنعت این را می گویند. را دفتر رئیس جمهور ایالات متحده این را می گوید.
پس چرا هنوز به طور گسترده مورد استفاده قرار نگرفته اند؟ فروشندگان نرم افزار نگران چه چیزی هستند؟ آیا آنها چیزی می دانند که ما نمی دانیم؟
در یک مجمع اخیر CISO در وایت هال لندن، بسیاری از CISOها احساس کردند که چالش ها و سرعت تغییر در امنیت برنامه ها، به ویژه در محیط های فعال ابری، آنها را کمی بی رمق و چالش برانگیز برای تغییر مدل های معماری و تفکر برای تبدیل شدن به کامل کرده است. بومی ابر به ویژه، تمایلی به کنار گذاشتن روشهای کنترل قدیمی مانند فهرستهای دسترسی مبتنی بر IP و کنترلهای امنیتی مبتنی بر نقطه پایانی وجود نداشت.
مردد برای خاموش کردن SBOM
چندین احتمال جالب وجود دارد که ممکن است تمایل به تاخیر در ارائه SBOM ها را تحریک کند.
اول است ناآگاهی از زنجیره تامین خود. این امکان وجود دارد که فروشندگان واقعاً منشأ برخی از نرم افزارهای خود را ندانند. در تیمهای توسعهدهنده بزرگ و پروژههای پیچیده و طولانی که به طور مؤثر بخشهای کد را «جعبه سیاه» میکنند، رایج است.
اگر اینطور باشد، این واقعیت که سازمان ممکن است به طور کامل از منشأ نرم افزار خود مطلع نباشد، نگرانی های بی شماری را ایجاد می کند. این می تواند هر چیزی را از ردیابی نسخه بد گرفته تا وجود کارمندان ضروری بالقوه نشان دهد که سرنوشت کل شرکت را در دستان کدنویس خود نگه می دارند. کاملاً قابل درک است که چنین شرکتی در انتشار SBOM برای محصولات خود تردید کند.
سناریوی دیگری که ممکن است یک شرکت را نسبت به SBOM ها ناامید کند، این است اگر محصول تقریباً به طور کامل مجموعه ای از محصولات دیگر باشد. این واقعیت توسعه نرم افزار مدرن است که برنامه ها نتیجه کدهای سفارشی هستند که با کتابخانه ها و مؤلفه های شخص ثالث ترکیب شده اند. اگر شرکت درصد بسیار کمی از کد خود را نوشته باشد، در آن صورت SBOM اساسا میتواند به کارت دستور غذا برای شخص دیگری تبدیل شود تا محصول را شبیهسازی کند.
اما سناریوی محتمل این است که شرکت های نرم افزاری ممکن است هیچ چیز مثبتی را نمی بینید، فقط جنبه منفی بالقوه را مشاهده می کنید برای انتشار SBOM ها در حال حاضر فشار بازار بسیار کمی برای انتشار SBOM برای خطوط تولید آنها وجود دارد. آنها ممکن است یکی را برای استفاده داخلی ایجاد کرده باشند، اما هیچ فشار واقعی برای عمومی کردن آنها وجود ندارد. نگرانی اصلی بیان شده توسط CISO این است که در حالی که یک SBOM ممکن است دید را بهبود بخشد، انگیزه کمی برای اصلاح ایجاد میکند و هیچ مسئولیتی در قبال رفع نقصهای نرمافزاری ندارد - مشکل را کاملاً در دامان کاربر نهایی، CISO میگذارد.
عبور از SBOM
بعید است که صنعت یا مردم خریدار بتوانند فشار بازار مورد نیاز برای وادار کردن هر بازیگر اصلی را برای انتشار SBOM برای همه محصولات خود ایجاد کنند. در ماه مه 2021، دولت ایالات متحده حکم اجرایی صادر کرد برای بهبود امنیت سایبری کشور که صراحتاً SBOM ها را به عنوان یک اقدام کنترلی برای زنجیره تامین نرم افزار فراخوانده است. دولت اتحادیه اروپا، به نوبه خود، برنامه ریزی کرده است پیشنهاد تاب آوری سایبری برای تکرار و حمایت از الزامات دستور ایالات متحده.
اگر هدف اصلی یک SBOM مدیریت وصله و تخصیص آسیبپذیری باشد، یک لایه ثانویه از نظارت و حفاظت وجود دارد که پرسنل امنیت سایبری باید به آن نگاه کنند: مدیریت سطح حمله (ASM).
اگرچه برای تیمهای امنیتی سازمانی کمی آسانتر است که بدانند نرمافزاری که استفاده میکنند حاوی بستههای X، Y و Z است، اما این تنها راه برای مدیریت امنیت برنامهها نیست. با ردیابی تاریخچه مشاوره امنیتی این مجموعههای نرمافزاری، میتوانیم محتملترین بردارهای حملهای را که میتوانند قربانی آن شوند، تخمین بزنیم.
ترکیبی از این آسیبپذیریها از هر نرمافزاری که یک شرکت استفاده میکند، سطح حمله یک سازمان را تشکیل میدهد. آنچه ASM سعی می کند انجام دهد این است که به طور هوشمندانه این نقاط ضعف را طبقه بندی کرده و کشف، اصلاح و نظارت مستمر تهدیدات جدید را خودکار کند.
مثل این است که یک سرویس مشاوره آسیبپذیری را با یک راهحل مدیریت نرمافزار سازمانی به هم متصل کنید. روشی که ASM این کار را انجام می دهد از محصولی به محصول دیگر متفاوت است، اما به طور کلی مقداری متفاوت است فراگیری ماشین شامل. به این ترتیب میتوان مدلهای پیشبینیکننده را بهگونهای ساخت که وقتی اکسپلویتهای روز صفر مشخصی کشف میشوند، میدانید که چقدر احتمال دارد در سطح حمله شما اعمال شوند، حتی اگر SBOM دقیقی از هر فروشندهای نداشته باشید.
یک ASM خوب مزیت دیگری دارد که با اردک ها مانند اردک رفتار می کند. می دانید: اگر به نظر می رسد مانند یک اردک است و مانند یک اردک است، واقعاً مهم نیست که شخص دیگری به جای آن برچسب قو را به آن بزند. ASM فقط به نتایج اهمیت می دهد. اگر شرکتی اصرار داشته باشد که از Open Dynamics Engine استفاده میکند، اما به دلایلی مرموز قربانی آسیبپذیریهای مشابه موتور PhysX شود، ASM به طور کامل برچسبها را نادیده میگیرد و راهحلهایی را پیشنهاد میکند که در واقع متناسب با وضعیت هستند و نه مواردی که مطابقت دارند. به نام ها
حتی اگر حرکت به سمت پذیرش جریان اصلی SBOM به کندی ادامه دهد، متخصصان امنیتی یک جایگزین قوی با ASM دارند. همچنین شایان ذکر است که ASM هرگونه حاکمیت نرم افزاری مبتنی بر SBOM را با یک سیستم کاهش ریسک پویا تکمیل می کند.
به جای اتخاذ و استقرار چیزی به صورت محلی برای پوشش نیازهای کشف آسیبپذیری و نظارت، جایگزینی دیگر استفاده از یک مدل امنیتی بدون عامل است که میتواند سطوح حملات گسترده دارایی را نظارت کند. شرکت اطلاعات دستگاه ارمیسبرای مثال، این کار را با یک رویکرد کاملاً بومی ابری انجام می دهد. آن را به عنوان یک راه حل ASM در نظر بگیرید که دستگاه های IoT، نمونه های ابری، و تنظیمات شبکه لبه و همچنین داخلی های سنتی را پوشش می دهد.
چنین مدلی روشی متفاوت و جهانیتر برای نگاه کردن به هوشمندی دارایی ارائه میدهد که ممکن است برای عملیاتهای بزرگ سازمانی جذابتر باشد. با این حال، عملیاتهای کوچکتر احتمالاً میخواهند پول خود را برای یک ASM خوب پس انداز کنند و به هوشیاری بیشتر برای دستگاههای شبکه گسترده خود متکی باشند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/dr-tech/waiting-for-sbom-take-a-look-at-asm