SBOM na ochranu vaší organizace

ÚVOD: PROČ SBOMS?

V roce 2020 došlo u společnosti SolarWinds k rozsáhlému narušení, když byl do opravné aktualizace jednoho z jejích produktů vložen škodlivý kód. Do března 2021 nainstalovalo škodlivou záplatu do svých systémů SolarWinds 18 000 organizací a podniků, od společností z žebříčku Fortune 500 až po americkou vládu. Incident odhalil nepříjemnou pravdu: Dnešní aktéři kybernetických hrozeb jsou stále sofistikovanější ve využívání dodavatelských řetězců softwaru k provádění útoků. Ať už je ohrožují zločinecké nebo zpravodajské skupiny, i organizace, které používají osvědčené postupy pro kybernetickou bezpečnost, čelí rostoucím kybernetickým rizikům spojeným s infiltrací svých dodavatelů. Hrozby v dodavatelském řetězci softwaru jsou považovány za hlavní vektor útoku, protože aktéři hrozeb zavádějí škodlivé nástroje a programy do produktů a služeb dodavatelů na každé úrovni vývojového cyklu, což pro podniky představuje nové hrozby, které činí mnoho předchozích přístupů ke kybernetické obraně zastaralými. Hráči v kybernetickém průmyslu a federální vláda nyní považují softwarový kusovník (Software Bill of Materials, SBOM) za jasné řešení rostoucího počtu útoků na dodavatelský řetězec softwaru.

SBOM je často přirovnáván k nutričnímu štítku pro poskytovatele softwaru a umožňuje organizacím získat jasný přehled o "složení" programů a aplikací, na které se spoléhají. SBOM chrání podniky a aplikace prostřednictvím transparentnosti; bezpečnostní týmy jsou schopny identifikovat zastaralý software, nekvalitní nástroje, nedůvěryhodné dodavatele a další potenciální problémy v podnikovém softwaru prostřednictvím rámce, který identifikuje každou součást dodavatelského řetězce softwaru. Tím, že SBOM umožňuje transparentnost softwarových komponent a poskytovatelů, pomáhá organizacím dosáhnout stavu zabezpečení Zero Trust.

V květnu 2021 vydal Bílý dům nařízení o kybernetické bezpečnosti, v němž se zasazuje o SBOM. V prováděcí vyhlášce se uvádí, že "široce používaný, strojově čitelný formát SBOM umožňuje větší výhody díky automatizaci a integraci nástrojů. [...] SBOM získávají větší hodnotu, pokud jsou společně uloženy v úložišti, které lze snadno vyhledávat v jiných aplikacích a systémech. Pochopení dodavatelského řetězce softwaru, získání SBOM a jeho využití k analýze známých zranitelností je pro řízení rizik klíčové." Pozorovatelé z odvětví naznačují, že budoucí federální pokyny mohou vyžadovat, aby mnoho organizací, bez ohledu na jejich přítomnost v kritických odvětvích, využívalo SBOM jako součást svého bezpečnostního postoje.