პროგრამული უზრუნველყოფის მასალები: მეტი გამჭვირვალობა კიბერ საფრთხეების შესამცირებლად

• ავტორი:
• ავტორის სახელი

  Quantumrun Foresight
• ივნისი 10, 2022

Insight რეზიუმე

პროგრამული უზრუნველყოფის მასალების (SBOM) ბიძგი მიზნად ისახავს ეროვნული კიბერუსაფრთხოების გაძლიერებას პროგრამული პროექტების კომპონენტების დეტალური სიების მოთხოვნით. ეს ინიციატივა არა მხოლოდ აძლიერებს თანამშრომლობას პროგრამულ და აპარატურულ გუნდებს შორის, არამედ ხსნის ახალ შესაძლებლობებს ტრენინგში, შესაბამისობაში და კონსულტაციაში. თუმცა, ის ასევე აჩენს გამოწვევებს, როგორიცაა ბაზრის პოტენციური გამორიცხვა შეუსაბამო პროგრამული უზრუნველყოფის გამყიდველებისთვის და მიმდინარე საკანონმდებლო ადაპტაციის საჭიროება.

პროგრამული უზრუნველყოფის მასალების კონტექსტი

აშშ-ს პრეზიდენტმა ჯო ბაიდენმა მიიღო ზომები 2021 წლის მაისში ქვეყანაში კიბერუსაფრთხოების შესახებ მზარდი შეშფოთების გადასაჭრელად, გამოსცა აღმასრულებელი ბრძანება, რომელიც ავალდებულებს პროგრამული უზრუნველყოფის გამყიდველებს მიაწოდონ ფედერალური შესყიდვების აგენტები პროგრამული უზრუნველყოფის მასალების კანონპროექტით (SBOM). ეს ნაბიჯი მიზნად ისახავს ქვეყნის კიბერუსაფრთხოების ზომების გაძლიერებას და ფედერალური მთავრობის ქსელების დაცვას. ბრძანება მოვიდა საპასუხოდ გახმაურებული კიბერშეტევების სერიაზე, რომელმაც მიიპყრო ეროვნული ყურადღება და ხაზი გაუსვა უსაფრთხოების გაუმჯობესებული პროტოკოლების გადაუდებელ აუცილებლობას.

ციფრულ ტექნოლოგიებზე ჩვენი დამოკიდებულების ზრდამ როგორც საჯარო, ისე კერძო ორგანიზაციები უფრო დაუცველი გახადა კიბერთავდასხმების მიმართ. ამ საკითხის მოსაგვარებლად, აღმასრულებელი ბრძანება ხაზს უსვამს SBOM-ების მნიშვნელობას, რომლებიც არსებითად წარმოადგენს პროგრამულ პროექტებში გამოყენებული კომპონენტების დეტალურ სიას. ეს სიები შეიცავს ინფორმაციას, როგორიცაა თითოეული კომპონენტის ვერსიები, მათი ამჟამინდელი პატჩის სტატუსი, ნებისმიერი ლიცენზია, რომელიც მათ შეიძლება ჰქონდეთ და შეიცავს თუ არა ისინი ღია წყაროს ბიბლიოთეკებს.

ამ დონის დეტალების მიწოდებით, SBOM-ები მიზნად ისახავს ორგანიზაციებს გაუადვილონ პოტენციური მოწყვლადობის იდენტიფიცირება და პრევენციული ზომების მიღება. მაგალითად, 2021 წლის მაისის თავდასხმამ ჰიუსტონში, ტეხასის შტატში, კოლონიალურ მილსადენზე, შეაფერხა საწვავის მიწოდება და გადაჭრას თითქმის ერთი კვირა დასჭირდა. SBOM-ები მიზნად ისახავს შეამცირონ ასეთი ინციდენტების მოსაგვარებლად საჭირო დრო პროგრამული უზრუნველყოფის კომპონენტების მკაფიო ინვენტარის მიწოდებით, რაც საშუალებას იძლევა უფრო ეფექტური იდენტიფიცირება და მოწყვლადობის გამოსწორება. ეს განსაკუთრებით მნიშვნელოვანია სისტემებისთვის, რომლებიც აკონტროლებენ ფიზიკურ ინფრასტრუქტურას, სადაც კიბერშეტევას შეიძლება მოჰყვეს მყისიერი და შორსმიმავალი შედეგები.

დამრღვევი გავლენა

SBOM-ების ბიძგი მიზნად ისახავს შექმნას ინდუსტრიული სტანდარტი, რომელიც შეიძლება მიღებულ იქნას დაინტერესებული მხარეების ფართო სპექტრის მიერ, პროგრამული უზრუნველყოფის შემქმნელებიდან ტექნიკის მწარმოებლამდე. ეს ინიციატივა ხელს უწყობს ამ გუნდებს უფრო მჭიდროდ იმუშაონ ერთად პროდუქტების დიზაინისა და მშენებლობისას. მთელი ციფრული ეკოსისტემის ცენტრალიზებული ხედვის შეთავაზებით, SBOM უზრუნველყოფს ხილვადობას პროექტის ყველა ასპექტში, მიუხედავად გამოყენებული ციფრული ხელსაწყოებისა. 

SBOM-ების მიღებას აქვს პოტენციალი მნიშვნელოვნად გააუმჯობესოს კომუნიკაცია და კოორდინაცია აპარატურულ და პროგრამულ გუნდებს შორის. რეალურ დროში მონაცემების და გამჭვირვალობის უზრუნველყოფით, SBOM-ები შეიძლება იყოს ეფექტური ინსტრუმენტი უსაფრთხოების დაუცველობის იდენტიფიცირებისთვის და აღმოსაფხვრელად, სანამ ისინი გამოიყენებენ კიბერკრიმინალებს ან სხვა მტრულად განწყობილ აქტორებს. SBOM-ების ეს რეალურ დროში ბუნება შეიძლება იყოს თამაშის შეცვლა კიბერუსაფრთხოებაში, რაც უფრო სწრაფი რეაგირებისა და უფრო პროაქტიული ზომების მიღების საშუალებას იძლევა. პროგრამული უზრუნველყოფის მომხმარებლებისა და გამყიდველებისთვის ეს ნიშნავს უფრო მეტ ნდობას იმ პროდუქტების უსაფრთხოებაში, რომლებსაც ისინი იყენებენ ან ყიდიან.

ფედერალური მანდატი SBOM-ებისთვის, სავარაუდოდ, გახსნის ახალ გზებს ტრენინგის, შესაბამისობისა და კიბერუსაფრთხოების კონსულტაციებში. ეს ქმნის შესაძლებლობას პროგრამული უზრუნველყოფის პლატფორმის გამყიდველებს განავითარონ ახალი პროდუქტის ხაზები, რომლებიც მორგებულია სპეციალურად ფედერალური მთავრობის მოთხოვნებისთვის. ეს სპეციალიზებული პროდუქტები შეიძლება გახდეს ახალი სტანდარტი სხვა სექტორებისთვის, რაც გამოიწვევს კიბერუსაფრთხოების გაუმჯობესებული ზომების ტალღოვან ეფექტს ინდუსტრიებში. 

SBOM-ების შედეგები

SBOM-ების უფრო ფართო შედეგები შეიძლება მოიცავდეს: 

• გაძლიერებული მარეგულირებელი მმართველობა პროგრამული უზრუნველყოფის ლიცენზიებზე, რაც იწვევს პროგრამული უზრუნველყოფის უფრო გამჭვირვალე და კანონიერად შესაბამისობაში მოყვანას და განაწილებას.
• სხვა ეროვნული მთავრობები, რომლებიც იღებენ SBOM კანონმდებლობას, რათა გააძლიერონ შიდა კიბერუსაფრთხოება და გააუმჯობესონ ეკონომიკური ინტეგრაცია შეერთებულ შტატებთან
• პროგრამული უზრუნველყოფის მომწოდებლები ვერ აწარმოებენ SBOM-ს, რომლებიც გამორიცხულია ბაზრებიდან შეუსაბამობის გამო, რაც ზრდის ბაზარზე შესვლის ბარიერს.
• კომერციული საწარმოები ადგენენ საკუთარ SBOM მოთხოვნებს გამყიდველებისთვის, შეესაბამება მთავრობის დირექტივებს მათი ციფრული სისტემების გამძლეობის, საიმედოობისა და უსაფრთხოების გასაუმჯობესებლად.
• კიბერუსაფრთხოების საკონსულტაციო ფირმების ბიზნეს მოდელების ცვლა, მეტი ფოკუსირება SBOM-ის შესაბამისობაზე და აუდიტზე, შემოსავლების ახალი ნაკადების შექმნა.
• გაიზარდა სამუშაო შესაძლებლობები კიბერუსაფრთხოების და პროგრამული აუდიტის სფეროებში, რადგან იზრდება მოთხოვნა ექსპერტებზე, რომლებსაც შეუძლიათ SBOM მოთხოვნების ნავიგაცია.
• საბოლოო მომხმარებლებისთვის პროგრამული უზრუნველყოფის ხარჯების პოტენციური ზრდა, რადგან კომპანიებმა შეიძლება გადაიხადონ SBOM შესაბამისობასთან დაკავშირებული ხარჯები მომხმარებლებისთვის.
• პოლიტიკის შემქმნელები გამოწვევების წინაშე დგანან SBOM-ის კანონმდებლობის განახლებისას, რადგან მათ სჭირდებათ ადაპტირება სწრაფად განვითარებად კიბერუსაფრთხოების საფრთხეებსა და ტექნოლოგიებთან.

კითხვები გასათვალისწინებელია

• იმის გათვალისწინებით, რომ ბაიდენის ადმინისტრაციის აღმასრულებელი ბრძანება SBOM-ებთან დაკავშირებით იყო პასუხი ფედერალურ აქტივებზე კიბერშეტევაზე, როგორ ფიქრობთ, რომ SBOM-ებმა შესაძლოა შეამცირონ კიბერშეტევების სიხშირე და მასშტაბები მომავალში?
• SBOM-ები უზრუნველყოფენ რთულ ინფორმაციას და დეტალებს პროგრამული პროდუქტის შემადგენლობასა და დიზაინთან დაკავშირებით, წარმოადგენს თუ არა თავად SBOM-ები უსაფრთხოების საფრთხეს, თუ მტრულად განწყობილ აქტორებს შეუძლიათ მათზე წვდომა? როგორ შეიძლება ამ სცენარის თავიდან აცილება?