تطالب الشركات الحكومية والشركات الحساسة للأمن بشكل متزايد صانعي البرمجيات بتزويدهم بقوائم المواد البرمجية (SBOMs)، ولكن في أيدي المهاجمين، يمكن أن توفر قائمة المكونات التي تشكل التطبيق مخططًا لاستغلال التعليمات البرمجية.
يقول لاري بيس، مدير أبحاث وتحليل أمن المنتجات في سلسلة توريد البرمجيات، إن المهاجم الذي يحدد البرنامج الذي تقوم الشركة المستهدفة بتشغيله، يمكنه استرداد SBOM المرتبط به، وتحليل مكونات التطبيق بحثًا عن نقاط الضعف، كل ذلك دون إرسال حزمة واحدة. شركة الأمن Finite State.
اليوم، سيتعين على المهاجمين في كثير من الأحيان إجراء التحليل الفني، والهندسة العكسية لشفرة المصدر، والنظر لمعرفة ما إذا كانت هناك مكونات محددة معروفة معرضة للخطر في تطبيق برمجي مكشوف من أجل العثور على التعليمات البرمجية المعرضة للخطر. ومع ذلك، إذا كانت الشركة المستهدفة تحتفظ بـ SBOMs التي يمكن الوصول إليها بشكل عام، فإن الكثير من هذه المعلومات متاحة بالفعل، كما يقول Pesce، وهو مختبر اختراق سابق منذ 20 عامًا ويخطط للتحذير من المخاطر في
عرض تقديمي عن "الـ SBOMs الشريرة" في مؤتمر RSA في مايو.
"باعتبارك خصمًا، يتعين عليك القيام بالكثير من هذا العمل مقدمًا، ولكن إذا طُلب من الشركات تقديم SBOMs، إما علنًا أو للعملاء، وهذا ... يتسرب إلى مستودعات أخرى، فلن يتعين عليك القيام بأي شيء يقول: "العمل، لقد تم إنجازه بالفعل من أجلك". "لذا فإن الأمر يشبه نوعًا ما - ولكن ليس بالضبط - الضغط على الزر السهل."
تتكاثر SBOMs بسرعة، حيث تطلب أكثر من نصف الشركات حاليًا أن يكون أي تطبيق مصحوبًا بقائمة من المكونات - وهو رقم سيصل إلى 60% بحلول العام المقبل، بحسب جارتنر. تعتبر الجهود المبذولة لجعل SBOMs ممارسة قياسية الشفافية والرؤية كخطوات أولى لمساعدة صناعة البرمجيات تأمين منتجاتهم بشكل أفضل. وقد امتد هذا المفهوم إلى قطاع البنية التحتية الحيوية، حيث شرعت شركة الطاقة العملاقة Southern Company في مشروع
إنشاء قائمة المواد لجميع الأجهزة والبرامج والبرامج الثابتة في إحدى محطاتها الفرعية في ولاية ميسيسيبي.
استخدام SBOMs لأغراض الهجمات الإلكترونية الشريرة
يقول بيسسي إن إنتاج قائمة مفصلة بمكونات البرامج في أحد التطبيقات يمكن أن يكون له آثار ضارة. في عرضه التقديمي، سيوضح أن SBOMs لديها معلومات كافية للسماح للمهاجمين بذلك البحث عن CVEs محددة في قاعدة بيانات SBOMs وابحث عن تطبيق من المحتمل أن يكون عرضة للخطر. والأفضل من ذلك بالنسبة للمهاجمين هو أن SBOMs ستدرج أيضًا المكونات والأدوات المساعدة الأخرى على الجهاز والتي يمكن للمهاجم استخدامها "للعيش خارج الأرض" بعد الهجوم، كما يقول.
ويقول: "بمجرد اختراق جهاز ما... يمكن لـ SBOM أن يخبرني بما تركته الشركة المصنعة للجهاز على هذا الجهاز والذي من المحتمل أن أستخدمه كأدوات لبدء فحص الشبكات الأخرى".
يتضمن الحد الأدنى لخط الأساس لحقول بيانات SBOM المورد واسم المكون وإصداره وعلاقات التبعية والطابع الزمني لآخر تحديث للمعلومات،
وفقًا لإرشادات وزارة التجارة الأمريكية.
في الواقع، يمكن استخدام قاعدة بيانات شاملة لـ SBOMs بطريقة مشابهة لتعداد شودان للإنترنت: يمكن للمدافعين استخدامها لمعرفة تعرضهم، ولكن يمكن للمهاجمين استخدامها لتحديد التطبيقات التي قد تكون عرضة لثغرة أمنية معينة، يقول.
ويقول: "سيكون هذا مشروعًا رائعًا حقًا، وبصراحة، أعتقد أننا على الأرجح سنرى شيئًا كهذا - سواء كان ذلك شركة تقوم بإنشاء قاعدة بيانات عملاقة أو شيئًا تفرضه الحكومة".
الفريق الأحمر مبكرًا وفي كثير من الأحيان
عندما ذكر بيسي الحديث مع أحد المدافعين عن SBOM، جادلوا بأن استنتاجاته من شأنها أن تجعل النضال من أجل إقناع الشركات بتبني SBOM أكثر صعوبة. ومع ذلك، يرى بيسي أن هذه المخاوف تخطئ الهدف. وبدلاً من ذلك، يجب على فرق أمان التطبيقات أن تأخذ على محمل الجد القول المأثور "الأحمر يخبر الأزرق".
ويقول: "إذا كنت تمثل منظمة تستهلك أو تولد SBOMs، فاعلم أنه سيكون هناك أشخاص مثلي - أو ما هو أسوأ - سيستخدمون SBOMs في الشر". "لذا استخدمها في الشر بنفسك: أدخلها كجزء من برنامج إدارة نقاط الضعف الشامل الخاص بك؛ قم بإحضارهم كجزء من برنامج اختبار القلم الخاص بك؛ قم بإدراجها كجزء من دورة حياة التطوير الآمنة - قم بإدراجها كجزء من كافة برامج الأمان الداخلي لديك."
في حين يمكن لصانعي البرمجيات أن يجادلوا بأن SBOMs يجب أن تتم مشاركتها مع العملاء فقط، فمن المرجح أن يكون الحد من SBOMs مهمة شاقة. من المحتمل أن تتسرب SBOMs إلى الجمهور، كما أن التوفر الواسع النطاق للأدوات اللازمة لإنشاء SBOMs من الثنائيات ومن كود المصدر سيجعل الحد من نشرها نقطة خلافية.
ويقول: "بعد تواجدنا في هذه الصناعة لفترة كافية، نعلم أنه عندما يكون هناك شيء خاص، فإنه سيصبح في النهاية عامًا". "لذلك سيكون هناك دائمًا شخص يسرب المعلومات [أو] سينفق شخص ما الأموال على أداة تجارية ليقوم بإنشاء SBOMs بنفسه."
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/cyberattack-gold-sboms-census-vulnerable-software
