SBOM schützen Ihre Organisation

EINLEITUNG: WARUM SBOMS?

Im Jahr 2020 erlitt SolarWinds eine massive Sicherheitslücke durch die Einschleusung von bösartigem Code in ein Patch-Update für eines seiner Produkte. Bis März 2021 hatten 18.000 Organisationen und Unternehmen den bösartigen Patch auf ihren SolarWinds-Systemen installiert, von Fortune-500-Unternehmen bis hin zur US-Regierung. Der Vorfall offenbarte eine unangenehme Wahrheit: Die heutigen Cyber-Bedrohungsakteure sind immer raffinierter darin geworden, Software-Lieferketten für Angriffe auszunutzen. Ob durch kriminelle oder nachrichtendienstliche Gruppen bedroht, selbst Unternehmen, die bewährte Verfahren für die Cybersicherheit einsetzen, sehen sich mit zunehmenden Cyber-Risiken konfrontiert, wenn ihre Lieferanten infiltriert werden. Bedrohungen aus der Software-Lieferkette gelten als einer der wichtigsten Angriffsvektoren, da Bedrohungsakteure auf jeder Stufe des Entwicklungszyklus bösartige Tools und Programme in die Produkte und Dienstleistungen von Anbietern einschleusen, wodurch sich für Unternehmen neue Bedrohungsaspekte ergeben, die viele frühere Ansätze zur Cyberabwehr obsolet machen. Eine Software Bill of Materials (SBOM) wird nun von Akteuren der Cyberindustrie und der Bundesregierung als klare Lösung für die zunehmenden Angriffe auf die Software-Lieferkette angesehen.

SBOMs werden oft mit einer Nährwertkennzeichnung für Softwareanbieter verglichen und ermöglichen es Unternehmen, sich ein klares Bild von den "Zutaten" der Programme und Anwendungen zu machen, auf die sie angewiesen sind. SBOMs schützen Unternehmen und Anwendungen durch Transparenz. Sicherheitsteams sind in der Lage, veraltete Software, minderwertige Tools, nicht vertrauenswürdige Anbieter und andere potenzielle Probleme innerhalb ihrer Unternehmenssoftware durch einen Rahmen zu erkennen, der jede Komponente der Software-Lieferkette identifiziert. Indem sie Transparenz über ihre Softwarekomponenten und -anbieter schaffen, helfen SBOMs Unternehmen, eine Zero-Trust-Sicherheitsposition zu erreichen.

Im Mai 2021 erließ das Weiße Haus eine Durchführungsverordnung zur Cybersicherheit, in der es sich für SBOMs aussprach. In der Anordnung heißt es: "Ein weit verbreitetes, maschinenlesbares SBOM-Format ermöglicht größere Vorteile durch Automatisierung und Tool-Integration. [...] Die SBOMs gewinnen an Wert, wenn sie gemeinsam in einem Repository gespeichert werden, das von anderen Anwendungen und Systemen leicht abgefragt werden kann. Das Verständnis der Lieferkette von Software, die Beschaffung einer SBOM und ihre Verwendung zur Analyse bekannter Schwachstellen sind für das Risikomanagement von entscheidender Bedeutung." Branchenbeobachter gehen davon aus, dass künftige Bundesrichtlinien von vielen Organisationen, unabhängig davon, ob sie in kritischen Branchen tätig sind, die Verwendung von SBOMs als Teil ihrer Sicherheitsvorkehrungen verlangen könnten