সরকার এবং নিরাপত্তা-সংবেদনশীল কোম্পানিগুলি সফ্টওয়্যার নির্মাতাদের সফ্টওয়্যার বিল-অফ-ম্যাটেরিয়াল (SBOMs) সরবরাহ করার জন্য ক্রমবর্ধমানভাবে প্রয়োজন, কিন্তু আক্রমণকারীদের হাতে, একটি অ্যাপ্লিকেশন তৈরির উপাদানগুলির তালিকা কোডটি ব্যবহার করার জন্য একটি নীলনকশা প্রদান করতে পারে৷
একটি আক্রমণকারী যে কোন সফ্টওয়্যারটি একটি লক্ষ্যযুক্ত সংস্থা চালাচ্ছে তা নির্ধারণ করে, সংশ্লিষ্ট SBOM পুনরুদ্ধার করতে পারে এবং একটি প্যাকেট না পাঠিয়ে অ্যাপ্লিকেশনটির দুর্বলতাগুলি বিশ্লেষণ করতে পারে, সফ্টওয়্যার সরবরাহ-চেইনের পণ্য সুরক্ষা গবেষণা এবং বিশ্লেষণের পরিচালক ল্যারি পেস বলেছেন। নিরাপত্তা সংস্থা ফিনিট স্টেট।
আজ, আক্রমণকারীদের প্রায়শই প্রযুক্তিগত বিশ্লেষণ করতে হবে, রিভার্স ইঞ্জিনিয়ার সোর্স কোড করতে হবে, এবং দুর্বল কোড খুঁজে পাওয়ার জন্য একটি উন্মুক্ত সফ্টওয়্যার অ্যাপ্লিকেশনে নির্দিষ্ট পরিচিত-অরক্ষিত উপাদান বিদ্যমান কিনা তা দেখতে হবে। তবুও, লক্ষ্যযুক্ত কোম্পানি যদি SBOM গুলি বজায় রাখে যেগুলি সর্বজনীনভাবে অ্যাক্সেসযোগ্য, তবে সেই তথ্যের অনেকগুলি ইতিমধ্যেই উপলব্ধ, পেস বলেছেন, 20 বছরের একজন প্রাক্তন অনুপ্রবেশ পরীক্ষক যিনি ঝুঁকি সম্পর্কে সতর্ক করার পরিকল্পনা করেছেন।
"Evil SBOMs" এর উপর উপস্থাপনা মে মাসে RSA সম্মেলনে।
“একজন প্রতিপক্ষ হিসেবে, আপনাকে আগে থেকেই অনেক কাজ করতে হবে, কিন্তু যদি কোম্পানিগুলিকে SBOM প্রদান করতে হয়, হয় প্রকাশ্যে বা গ্রাহকদের, এবং তা … অন্যান্য সংগ্রহস্থলে ফাঁস হয়ে যায়, আপনাকে কিছু করতে হবে না কাজ, এটা ইতিমধ্যে আপনার জন্য করা হয়েছে,” তিনি বলেন. "সুতরাং এটি একধরনের মত - কিন্তু ঠিক নয় - সহজ বোতাম টিপে।"
SBOM গুলি দ্রুত প্রসারিত হচ্ছে, বর্তমানে অর্ধেকেরও বেশি কোম্পানির জন্য যেকোন অ্যাপ্লিকেশনের সাথে উপাদানগুলির একটি তালিকা থাকা প্রয়োজন — একটি সংখ্যা যা আগামী বছরের মধ্যে 60% এ পৌঁছাবে, গার্টনারের মতে। SBOM-কে একটি আদর্শ অনুশীলনে পরিণত করার প্রচেষ্টাগুলি সফ্টওয়্যার শিল্পকে সাহায্য করার প্রথম পদক্ষেপ হিসাবে স্বচ্ছতা এবং দৃশ্যমানতাকে দেখে তাদের পণ্য নিরাপদ. ধারণাটি এমনকি সমালোচনামূলক অবকাঠামো খাতেও ছড়িয়ে পড়েছে, যেখানে শক্তি জায়ান্ট সাউদার্ন কোম্পানি একটি প্রকল্প শুরু করেছে
সমস্ত হার্ডওয়্যার, সফ্টওয়্যার এবং ফার্মওয়্যারের জন্য উপকরণের একটি বিল তৈরি করুন মিসিসিপিতে এর একটি সাবস্টেশনে।
খারাপ সাইবার আক্রমণের উদ্দেশ্যে SBOMs ব্যবহার করা
একটি অ্যাপ্লিকেশনে সফ্টওয়্যার উপাদানগুলির একটি বিশদ তালিকা তৈরি করা আক্রমণাত্মক প্রভাব ফেলতে পারে, পেস যুক্তি দেয়। তার উপস্থাপনায়, তিনি দেখাবেন যে আক্রমণকারীদের অনুমতি দেওয়ার জন্য SBOM-এর কাছে যথেষ্ট তথ্য রয়েছে SBOM-এর ডাটাবেসে নির্দিষ্ট CVE-এর জন্য অনুসন্ধান করুন এবং এমন একটি অ্যাপ্লিকেশন খুঁজুন যা সম্ভবত দুর্বল। আক্রমণকারীদের জন্য আরও ভাল, SBOM গুলি ডিভাইসে অন্যান্য উপাদান এবং ইউটিলিটিগুলিও তালিকাভুক্ত করবে যা আক্রমণকারীরা আপোষ-পরবর্তী "ভূমিতে বসবাস" করার জন্য ব্যবহার করতে পারে, তিনি বলেছেন।
"একবার আমি একটি ডিভাইসের সাথে আপস করেছি ... একটি SBOM আমাকে বলতে পারে যে ডিভাইস প্রস্তুতকারক সেই ডিভাইসে কী রেখে গেছে যা আমি সম্ভাব্যভাবে অন্যান্য নেটওয়ার্ক অনুসন্ধান শুরু করার জন্য সরঞ্জাম হিসাবে ব্যবহার করতে পারি," তিনি বলেছেন।
SBOM ডেটা ক্ষেত্রগুলির জন্য ন্যূনতম বেসলাইনে সরবরাহকারী, উপাদানের নাম এবং সংস্করণ, নির্ভরতা সম্পর্ক এবং তথ্যটি সর্বশেষ আপডেট করা হয়েছে তার একটি টাইমস্ট্যাম্প অন্তর্ভুক্ত রয়েছে,
মার্কিন বাণিজ্য বিভাগের নির্দেশিকা অনুসারে.
প্রকৃতপক্ষে, SBOM-এর একটি ব্যাপক ডাটাবেস ইন্টারনেটের শোডান আদমশুমারির অনুরূপভাবে ব্যবহার করা যেতে পারে: ডিফেন্ডাররা তাদের এক্সপোজার দেখতে এটি ব্যবহার করতে পারে, কিন্তু আক্রমণকারীরা এটি ব্যবহার করতে পারে কোন অ্যাপ্লিকেশনগুলি একটি নির্দিষ্ট দুর্বলতার জন্য দুর্বল হতে পারে, পেস বলেন
"এটি সত্যিই একটি দুর্দান্ত প্রকল্প হবে, এবং সত্যই, আমি মনে করি আমরা সম্ভবত এমন কিছু দেখতে যাচ্ছি - এটি এমন একটি সংস্থা যা একটি বিশাল ডাটাবেস করে বা এটি এমন কিছু যা সরকার আদেশ দেয়," তিনি বলেছেন।
লাল দল প্রারম্ভিক এবং প্রায়ই
পেস যখন একজন SBOM অ্যাডভোকেটের সাথে কথা বলার কথা উল্লেখ করেছিলেন, তখন তারা যুক্তি দিয়েছিলেন যে তার সিদ্ধান্তগুলি কোম্পানিগুলিকে SBOM গ্রহণ করার জন্য সংগ্রামকে আরও কঠিন করে তুলবে। তবুও, পেস যুক্তি দেন যে সেই উদ্বেগগুলি বিন্দু মিস করে। পরিবর্তে, অ্যাপ্লিকেশন-নিরাপত্তা দলগুলিকে এই প্রবাদটি মনে রাখা উচিত যে, "লাল নীলকে জানায়।"
"আপনি যদি এমন একটি সংস্থা হন যা SBOMs গ্রাস করে বা তৈরি করে, তাহলে জেনে রাখুন যে আমার মতো লোক আছে - বা আরও খারাপ - যারা খারাপের জন্য SBOMs ব্যবহার করছে," তিনি বলেছেন। “সুতরাং সেগুলিকে নিজেরাই মন্দের জন্য ব্যবহার করুন: আপনার সামগ্রিক দুর্বলতা ব্যবস্থাপনা প্রোগ্রামের অংশ হিসাবে তাদের নিয়ে আসুন; আপনার পেন টেস্ট প্রোগ্রামের অংশ হিসাবে তাদের আনুন; আপনার নিরাপদ উন্নয়ন জীবনচক্রের অংশ হিসাবে তাদের আনুন - আপনার সমস্ত অভ্যন্তরীণ সুরক্ষা প্রোগ্রামের অংশ হিসাবে তাদের আনুন।"
যদিও সফ্টওয়্যার-নির্মাতারা যুক্তি দিতে পারে যে SBOM গুলি শুধুমাত্র গ্রাহকদের সাথে ভাগ করা উচিত, SBOM গুলিকে সীমাবদ্ধ করা সম্ভবত একটি কঠিন কাজ হবে। SBOMs সম্ভবত জনসাধারণের কাছে ফাঁস হবে, এবং বাইনারি থেকে এবং সোর্স কোড থেকে SBOMs তৈরি করার জন্য সরঞ্জামগুলির ব্যাপক প্রাপ্যতা তাদের প্রকাশনাকে সীমাবদ্ধ করে দেবে একটি মূল বিষয়।
"দীর্ঘদিন এই শিল্পে থাকার পর, আমরা জানি যে যখন কিছু ব্যক্তিগত হয়, এটি অবশেষে সর্বজনীন হয়ে যায়," তিনি বলেছেন। "সুতরাং সর্বদা এমন কেউ থাকবে যে তথ্য ফাঁস করবে [বা] কেউ নিজেরাই এসবিএম তৈরি করতে একটি বাণিজ্যিক সরঞ্জামে অর্থ ব্যয় করবে।"
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/application-security/cyberattack-gold-sboms-census-vulnerable-software
