Lista de materiais do software: maior transparencia para mitigar as ameazas cibernéticas

• autor:
• nome do autor

  Previsión de Quantumrun
• Xuño 10, 2022

Resumo de insight

O impulso ás listas de materiais de software (SBOM) ten como obxectivo fortalecer a ciberseguridade nacional esixindo listas detalladas de compoñentes nos proxectos de software. Esta iniciativa non só mellora a colaboración entre os equipos de software e hardware, senón que tamén abre novas oportunidades en formación, cumprimento e consultoría. Non obstante, tamén suscita desafíos, como a exclusión potencial do mercado para os provedores de software non conformes e a necesidade dunha adaptabilidade lexislativa continua.

Contexto da lista de materiais do software

O presidente dos Estados Unidos, Joe Biden, tomou medidas en maio de 2021 para abordar as crecentes preocupacións sobre a ciberseguridade no país, emitindo unha orde executiva que obriga aos vendedores de software a proporcionar aos axentes de compras federais unha lista de materiais de software (SBOM). Esta medida ten como obxectivo reforzar as medidas de ciberseguridade do país e salvagardar as redes do goberno federal. A orde respondeu a unha serie de ciberataques de alto perfil que chamaron a atención nacional, destacando a necesidade urxente de mellorar os protocolos de seguridade.

O aumento da nosa dependencia da tecnoloxía dixital fixo que as organizacións públicas e privadas sexan máis vulnerables aos ciberataques. Para abordar este problema, a orde executiva subliña a importancia dos SBOM, que son esencialmente listas detalladas de compoñentes utilizados en proxectos de software. Estas listas inclúen información como as versións de cada compoñente, o seu estado actual de parche, as licenzas que poidan ter e se incorporan bibliotecas de código aberto.

Ao proporcionar este nivel de detalle, os SBOM pretenden facilitar ás organizacións a identificación de posibles vulnerabilidades e a adopción de medidas preventivas. Por exemplo, o ataque de maio de 2021 ao oleoduto Colonial en Houston, Texas, interrompeu o abastecemento de combustible e tardou case unha semana en resolverse. Os SBOM pretenden reducir o tempo necesario para abordar tales incidentes proporcionando un inventario claro de compoñentes de software, permitindo unha identificación e solución máis eficientes das vulnerabilidades. Isto é especialmente crucial para os sistemas que controlan a infraestrutura física, onde un ciberataque pode ter consecuencias inmediatas e de gran alcance.

Impacto perturbador

O impulso aos SBOM ten como obxectivo crear un estándar da industria que poida ser adoptado por unha ampla gama de partes interesadas, desde desenvolvedores de software ata fabricantes de hardware. Esta iniciativa anima a estes equipos a traballar máis estreitamente xuntos á hora de deseñar e construír produtos. Ao ofrecer unha visión centralizada de todo o ecosistema dixital, os SBOM proporcionan visibilidade de todos os aspectos dun proxecto, independentemente das ferramentas dixitais utilizadas. 

A adopción de SBOM ten o potencial de mellorar significativamente a comunicación e a coordinación entre os equipos de hardware e software. Ao proporcionar datos en tempo real e transparencia, os SBOM poden servir como unha ferramenta eficaz para identificar e abordar as vulnerabilidades de seguridade antes de que poidan ser explotadas polos ciberdelincuentes ou outros actores hostís. Esta natureza en tempo real dos SBOM podería ser un cambio de xogo na ciberseguridade, permitindo respostas máis rápidas e medidas máis proactivas. Para os usuarios e provedores de software, isto significa unha maior confianza na seguridade dos produtos que usan ou venden.

O mandato federal para os SBOM tamén é probable que abra novas vías en formación, cumprimento e consultoría de ciberseguridade. Isto crea unha oportunidade para que os provedores de plataformas de software desenvolvan novas liñas de produtos adaptadas especificamente aos requisitos do goberno federal. Estes produtos especializados poderían converterse entón no novo estándar para outros sectores, o que provocará un efecto dominó das medidas de ciberseguridade melloradas en todas as industrias. 

Implicacións dos SBOM

As implicacións máis amplas dos SBOM poden incluír: 

• Mellora a gobernanza normativa sobre as licenzas de software que leva a un uso e distribución de software máis transparentes e conformes coa legalidade.
• Outros gobernos nacionais que adoptan lexislación SBOM para fortalecer a súa ciberseguridade doméstica e mellorar a integración económica cos EE.
• Os provedores de software que non poden producir un SBOM están excluídos dos mercados debido ao incumprimento, o que eleva o listón para a entrada no mercado.
• As empresas comerciais establecen os seus propios requisitos SBOM para os provedores, aliñando coas directivas gobernamentais para mellorar a durabilidade, fiabilidade e seguridade dos seus sistemas dixitais.
• Un cambio nos modelos de negocio para as firmas de consultoría de ciberseguridade, centrándose máis no cumprimento e auditoría de SBOM, creando novas fontes de ingresos.
• Aumento das oportunidades laborais nos campos da ciberseguridade e da auditoría de software, xa que crece a demanda de expertos que poidan navegar polos requisitos de SBOM.
• Un aumento potencial dos custos do software para os usuarios finais, xa que as empresas poden repercutir aos consumidores os gastos asociados ao cumprimento de SBOM.
• Os responsables políticos que se enfrontan a retos para manter actualizada a lexislación sobre SBOM, xa que necesitan adaptarse ás ameazas e tecnoloxías da ciberseguridade en rápida evolución.

Preguntas a ter en conta

• Dado que a orde executiva da administración Biden sobre os SBOM foi en resposta a un ciberataque a activos federais, cres que os SBOM poderían reducir a frecuencia e o alcance dos ciberataques no futuro?
• Dado que os SBOM proporcionan información e detalles complexos sobre a composición e o deseño dun produto de software, os propios SBOM representan unha ameaza para a seguridade se os actores hostís poden acceder a eles? Como se pode evitar este escenario?