Перелік матеріалів програмного забезпечення: більша прозорість для пом’якшення кіберзагроз

• Автор:
• ім'я автора

  Quantumrun Foresight
• 10 Червня, 2022.

Короткий огляд

Поштовх до номенклатури матеріалів програмного забезпечення (SBOM) спрямований на зміцнення національної кібербезпеки, вимагаючи детальних списків компонентів у проектах програмного забезпечення. Ця ініціатива не лише покращує співпрацю між командами програмного та апаратного забезпечення, але й відкриває нові можливості для навчання, відповідності та консультування. Однак це також створює проблеми, такі як потенційне виключення з ринку для невідповідних постачальників програмного забезпечення та необхідність постійної адаптації законодавства.

Контекст номенклатури програмного забезпечення

Президент США Джо Байден у травні 2021 року вжив заходів, щоб усунути зростаючу стурбованість щодо кібербезпеки в країні, видавши виконавчий наказ, який зобов’язує продавців програмного забезпечення надавати федеральним агентам із закупівель перелік матеріалів (SBOM). Цей крок має на меті посилити заходи кібербезпеки в країні та захистити мережі федерального уряду. Наказ був прийнятий у відповідь на серію гучних кібератак, які привернули увагу країни, підкресливши нагальну потребу в покращенні протоколів безпеки.

Зростання нашої залежності від цифрових технологій зробило державні та приватні організації більш уразливими до кібератак. Щоб вирішити цю проблему, виконавчий наказ підкреслює важливість SBOM, які, по суті, є детальними списками компонентів, що використовуються в проектах програмного забезпечення. Ці списки включають таку інформацію, як версії кожного компонента, їхній поточний статус виправлення, будь-які ліцензії, які вони можуть мати, і чи містять вони бібліотеки з відкритим кодом.

Забезпечуючи такий рівень деталізації, SBOMs спрямовані на те, щоб організаціям було легше визначати потенційні вразливості та вживати запобіжних заходів. Наприклад, атака у травні 2021 року на Colonial Pipeline у ​​Х’юстоні, штат Техас, призвела до перебоїв у постачанні палива, і її вирішення зайняло майже тиждень. SBOM спрямовані на скорочення часу, необхідного для вирішення таких інцидентів, забезпечуючи чіткий перелік програмних компонентів, що дозволяє ефективніше ідентифікувати та виправляти вразливості. Це особливо важливо для систем, які контролюють фізичну інфраструктуру, де кібератака може мати негайні та далекосяжні наслідки.

Руйнівний вплив

Поштовх до SBOMs спрямований на створення галузевого стандарту, який міг би бути прийнятий широким колом зацікавлених сторін, від розробників програмного забезпечення до виробників обладнання. Ця ініціатива заохочує ці команди тісніше співпрацювати під час проектування та створення продуктів. Пропонуючи централізоване уявлення про всю цифрову екосистему, SBOM забезпечують видимість усіх аспектів проекту, незалежно від використовуваних цифрових інструментів. 

Прийняття SBOM має потенціал для значного покращення зв’язку та координації між командами апаратного та програмного забезпечення. Надаючи дані в реальному часі та прозорість, SBOM можуть служити ефективним інструментом для виявлення та усунення вразливостей безпеки, перш ніж ними зможуть скористатися кіберзлочинці або інші ворожі особи. Така природа SBOM у реальному часі може кардинально змінити правила кібербезпеки, дозволяючи швидше реагувати та приймати більш проактивні заходи. Для користувачів і постачальників програмного забезпечення це означає більшу впевненість у безпеці продуктів, які вони використовують або продають.

Федеральний мандат на SBOM також, ймовірно, відкриє нові шляхи навчання, відповідності та консультування з кібербезпеки. Це створює можливість для постачальників програмної платформи розробляти нові лінійки продуктів, спеціально розроблені для вимог федерального уряду. Потім ці спеціалізовані продукти можуть стати новим стандартом для інших секторів, що призведе до хвильового ефекту покращених заходів кібербезпеки в усіх галузях. 

Наслідки SBOM

Більш широкі наслідки SBOM можуть включати: 

• Покращене регулятивне управління ліцензіями на програмне забезпечення, що веде до більш прозорого та відповідного законодавству використання та розповсюдження програмного забезпечення.
• Інші національні уряди приймають законодавство про SBOM для посилення внутрішньої кібербезпеки та покращення економічної інтеграції зі США
• Постачальники програмного забезпечення, які не можуть створити SBOM, виключаються з ринків через невідповідність, що підвищує планку для входу на ринок.
• Комерційні підприємства встановлюють власні вимоги SBOM для постачальників, узгоджуючи їх з урядовими директивами, щоб покращити довговічність, надійність і безпеку своїх цифрових систем.
• Зміни в бізнес-моделях для консалтингових фірм з кібербезпеки, зосереджені більше на відповідності та аудиті SBOM, створюючи нові джерела доходу.
• Збільшення можливостей працевлаштування у сферах кібербезпеки та аудиту програмного забезпечення, оскільки зростає попит на експертів, які можуть орієнтуватися у вимогах SBOM.
• Потенційне зростання вартості програмного забезпечення для кінцевих користувачів, оскільки компанії можуть перекладати витрати, пов’язані з відповідністю SBOM, споживачам.
• Політики стикаються з труднощами в оновленні законодавства про SBOM, оскільки їм необхідно адаптуватися до загроз і технологій кібербезпеки, що швидко розвиваються.

Питання для розгляду

• Враховуючи, що виконавчий наказ адміністрації Байдена щодо SBOM був у відповідь на кібератаку на федеральні активи, чи вважаєте ви, що SBOM зменшить частоту та масштаб кібератак у майбутньому?
• Оскільки SBOM надають складну інформацію та деталі щодо складу та дизайну програмного продукту, чи самі SBOM становлять загрозу безпеці, якщо ворожі суб’єкти можуть отримати до них доступ? Як можна запобігти цьому сценарію?