Programska oprema: večja preglednost za ublažitev kibernetskih groženj

• Avtor:
• ime avtorja

  Quantumrun Foresight
• Junij 10, 2022

Povzetek vpogleda

Prizadevanje za sezname materialov programske opreme (SBOM) je namenjeno krepitvi nacionalne kibernetske varnosti z zahtevo po podrobnih seznamih komponent v projektih programske opreme. Ta pobuda ne le izboljšuje sodelovanje med skupinami za programsko in strojno opremo, ampak tudi odpira nove priložnosti pri usposabljanju, skladnosti in svetovanju. Vendar pa postavlja tudi izzive, kot je morebitna izključitev s trga za neskladne prodajalce programske opreme in potreba po nenehnem prilagajanju zakonodaje.

Kontekst kosovnice programske opreme

Ameriški predsednik Joe Biden je maja 2021 ukrepal, da bi obravnaval vse večjo zaskrbljenost glede kibernetske varnosti v državi, in izdal izvršni ukaz, ki prodajalcem programske opreme nalaga, da zveznim agentom za javna naročila predložijo seznam materiala za programsko opremo (SBOM). Namen te poteze je okrepiti ukrepe kibernetske varnosti v državi in ​​zaščititi omrežja zvezne vlade. Ukaz je prišel kot odgovor na vrsto odmevnih kibernetskih napadov, ki so pritegnili nacionalno pozornost in poudarili nujno potrebo po izboljšanju varnostnih protokolov.

Zaradi naraščajočega zanašanja na digitalno tehnologijo so javne in zasebne organizacije postale bolj ranljive za kibernetske napade. Za reševanje tega vprašanja izvršni ukaz poudarja pomen SBOM, ki so v bistvu podrobni seznami komponent, uporabljenih v projektih programske opreme. Ti seznami vključujejo informacije, kot so različice vsake komponente, njihov trenutni status popravkov, vse licence, ki jih morda imajo, in ali vključujejo odprtokodne knjižnice.

Z zagotavljanjem te ravni podrobnosti želijo SBOM organizacijam olajšati prepoznavanje potencialnih ranljivosti in sprejetje preventivnih ukrepov. Napad maja 2021 na Colonial Pipeline v Houstonu v Teksasu je na primer motil oskrbo z gorivom, rešitev pa je trajala skoraj en teden. Cilj SBOM je skrajšati čas, potreben za obravnavo takšnih incidentov, tako da zagotovi jasen popis komponent programske opreme, kar omogoča učinkovitejšo identifikacijo in odpravo ranljivosti. To je še posebej pomembno za sisteme, ki nadzorujejo fizično infrastrukturo, kjer ima lahko kibernetski napad takojšnje in daljnosežne posledice.

Moteč vpliv

Prizadevanje za SBOM je namenjeno oblikovanju industrijskega standarda, ki bi ga lahko sprejel širok krog zainteresiranih strani, od razvijalcev programske opreme do proizvajalcev strojne opreme. Ta pobuda spodbuja te ekipe k tesnejšemu sodelovanju pri načrtovanju in izdelavi izdelkov. S tem, ko ponujajo centraliziran pogled na celoten digitalni ekosistem, SBOM zagotavljajo vpogled v vse vidike projekta, ne glede na uporabljena digitalna orodja. 

Sprejetje SBOM ima potencial za znatno izboljšanje komunikacije in usklajevanja med skupinami strojne in programske opreme. Z zagotavljanjem podatkov in preglednosti v realnem času lahko SBOM služijo kot učinkovito orodje za prepoznavanje in odpravljanje varnostnih ranljivosti, preden jih lahko izkoristijo kibernetski kriminalci ali drugi sovražni akterji. Ta narava SBOM v realnem času bi lahko spremenila igro na področju kibernetske varnosti, saj bi omogočila hitrejše odzive in bolj proaktivne ukrepe. Za uporabnike in prodajalce programske opreme to pomeni večje zaupanje v varnost izdelkov, ki jih uporabljajo ali prodajajo.

Zvezni mandat za SBOM bo verjetno odprl tudi nove poti pri usposabljanju, skladnosti in svetovanju na področju kibernetske varnosti. To ustvarja priložnost za prodajalce programske platforme, da razvijejo nove linije izdelkov, posebej prilagojene zahtevam zvezne vlade. Ti specializirani izdelki bi nato lahko postali nov standard za druge sektorje, kar bi privedlo do valovanja izboljšanih ukrepov kibernetske varnosti v panogah. 

Posledice SBOM

Širše posledice SBOM lahko vključujejo: 

• Izboljšano regulativno upravljanje licenc za programsko opremo, ki vodi do preglednejše in zakonsko skladnejše uporabe in distribucije programske opreme.
• Druge nacionalne vlade sprejemajo zakonodajo SBOM za krepitev domače kibernetske varnosti in izboljšanje gospodarske integracije z ZDA
• Prodajalci programske opreme, ki ne morejo izdelati SBOM, so izključeni s trgov zaradi neskladnosti, kar dviguje prag za vstop na trg.
• Komercialna podjetja, ki postavljajo lastne zahteve SBOM za prodajalce, se usklajujejo z vladnimi direktivami za izboljšanje vzdržljivosti, zanesljivosti in varnosti svojih digitalnih sistemov.
• Sprememba poslovnih modelov za svetovalna podjetja za kibernetsko varnost, ki se bolj osredotočajo na skladnost in revizijo SBOM, kar ustvarja nove tokove prihodkov.
• Povečane zaposlitvene možnosti na področju kibernetske varnosti in revizije programske opreme, saj narašča povpraševanje po strokovnjakih, ki znajo krmariti po zahtevah SBOM.
• Morebitno zvišanje stroškov programske opreme za končne uporabnike, saj lahko podjetja stroške, povezane s skladnostjo s SBOM, prenesejo na potrošnike.
• Oblikovalci politike se soočajo z izzivi pri posodabljanju zakonodaje SBOM, saj se morajo prilagoditi hitro razvijajočim se grožnjam in tehnologijam kibernetske varnosti.

Vprašanja, ki jih je treba upoštevati

• Glede na to, da je bil izvršni ukaz Bidnove administracije v zvezi s SBOM odgovor na kibernetski napad na zvezna sredstva, ali menite, da bi lahko SBOM zmanjšali pogostost in obseg kibernetskih napadov v prihodnje?
• Ker SBOM zagotavljajo zapletene informacije in podrobnosti o sestavi in ​​oblikovanju programskega izdelka, ali SBOM sami predstavljajo varnostno grožnjo, če lahko do njih dostopajo sovražni akterji? Kako preprečiti ta scenarij?