Generative Datenintelligenz

Cybersicherheit

Cyberattack Gold: SBOMs bieten eine einfache Zählung anfälliger Software

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 0

Regierungen und sicherheitsrelevante Unternehmen verlangen von Softwareherstellern zunehmend die Bereitstellung von Software-Stücklisten (SBOMs), doch in den Händen von Angreifern könnte die Liste der Komponenten, aus denen eine Anwendung besteht, eine Blaupause für die Ausnutzung des Codes sein.

Ein Angreifer, der feststellt, welche Software ein Zielunternehmen ausführt, kann die zugehörige SBOM abrufen und die Komponenten der Anwendung auf Schwachstellen analysieren, ohne ein einziges Paket zu senden, sagt Larry Pesce, Direktor für Produktsicherheitsforschung und -analyse bei Software Supply Chain Sicherheitsfirma Finite State.

Heutzutage müssen Angreifer häufig technische Analysen durchführen, den Quellcode zurückentwickeln und prüfen, ob in einer offengelegten Softwareanwendung bestimmte bekanntermaßen anfällige Komponenten vorhanden sind, um anfälligen Code zu finden. Wenn das Zielunternehmen jedoch öffentlich zugängliche SBOMs unterhält, sind viele dieser Informationen bereits verfügbar, sagt Pesce, ein ehemaliger Penetrationstester mit 20 Jahren Erfahrung, der vor dem Risiko warnen will
Vortrag zum Thema „Evil SBOMs“ auf der RSA-Konferenz im Mai.

„Als Gegner müssen Sie einen Großteil dieser Arbeit im Voraus erledigen, aber wenn Unternehmen verpflichtet sind, SBOMs öffentlich oder für Kunden bereitzustellen, und diese … in andere Repositories gelangen, müssen Sie nichts tun.“ Arbeit, es wurde bereits für Sie erledigt“, sagt er. „Es ist also ein bisschen so, als würde man – aber nicht genau – die Easy-Taste drücken.“

SBOMs vermehren sich schnell, und mehr als die Hälfte der Unternehmen verlangt derzeit, dass jedem Antrag eine Liste der Komponenten beigefügt wird – eine Zahl, die bis zum nächsten Jahr 60 % erreichen wird, laut Gartner. Bei den Bemühungen, SBOMs zu einer Standardpraxis zu machen, sind Transparenz und Sichtbarkeit die ersten Schritte zur Unterstützung der Softwareindustrie ihre Produkte besser sichern. Das Konzept hat sich sogar auf den kritischen Infrastruktursektor ausgeweitet, wo der Energieriese Southern Company ein Projekt in Angriff genommen hat
Erstellen Sie eine Stückliste für die gesamte Hardware, Software und Firmware in einem seiner Umspannwerke in Mississippi.

Verwendung von SBOMs für böse Cyberangriffszwecke

Die Erstellung einer detaillierten Liste der Softwarekomponenten in einer Anwendung könne beleidigende Folgen haben, argumentiert Pesce. In seinem Vortrag wird er zeigen, dass SBOMs über genügend Informationen verfügen, um es Angreifern zu ermöglichen Suchen Sie nach bestimmten CVEs in einer Datenbank mit SBOMs und finden Sie eine Anwendung, die wahrscheinlich anfällig ist. Noch besser für Angreifer ist, dass SBOMs auch andere Komponenten und Dienstprogramme auf dem Gerät auflisten, die der Angreifer nach der Kompromittierung nutzen könnte, um „vom Land zu leben“, sagt er.

„Sobald ich ein Gerät kompromittiert habe … kann mir ein SBOM sagen, was der Gerätehersteller auf diesem Gerät hinterlassen hat, was ich möglicherweise als Werkzeug verwenden könnte, um mit der Untersuchung anderer Netzwerke zu beginnen“, sagt er.

Die Mindestbasis für SBOM-Datenfelder umfasst den Lieferanten, den Namen und die Version der Komponente, Abhängigkeitsbeziehungen und einen Zeitstempel, wann die Informationen zuletzt aktualisiert wurden.
gemäß den Richtlinien des US-Handelsministeriums.

Tatsächlich könnte eine umfassende Datenbank von SBOMs auf ähnliche Weise wie die Shodan-Zählung im Internet verwendet werden: Verteidiger könnten sie nutzen, um ihre Gefährdung zu sehen, aber Angreifer könnten sie nutzen, um zu bestimmen, welche Anwendungen für eine bestimmte Schwachstelle, Pesce, anfällig sein könnten sagt.

„Das wäre ein wirklich cooles Projekt, und ehrlich gesagt denke ich, dass wir wahrscheinlich so etwas sehen werden – sei es ein Unternehmen, das eine riesige Datenbank betreibt, oder etwas, das die Regierung vorschreibt“, sagt er.

Rotes Team früh und oft

Als Pesce das Gespräch mit einem SBOM-Befürworter erwähnte, argumentierte dieser, dass seine Schlussfolgerungen den Kampf, Unternehmen zur Einführung von SBOMs zu bewegen, schwieriger machen würden. Dennoch argumentiert Pesce, dass diese Bedenken am Kern der Sache vorbeigehen. Stattdessen sollten sich Anwendungssicherheitsteams das Sprichwort „Rot informiert Blau“ zu Herzen nehmen.

„Wenn Sie ein Unternehmen sind, das SBOMs nutzt oder generiert, sollten Sie wissen, dass es Leute wie mich – oder noch schlimmer – geben wird, die SBOMs für böse Zwecke nutzen“, sagt er. „Benutzen Sie sie also selbst zum Bösen: Beziehen Sie sie als Teil Ihres gesamten Schwachstellenmanagementprogramms ein; Bringen Sie sie als Teil Ihres Pen-Test-Programms ein; Integrieren Sie sie als Teil Ihres sicheren Entwicklungslebenszyklus – integrieren Sie sie als Teil aller Ihrer internen Sicherheitsprogramme.“

Während Softwarehersteller argumentieren könnten, dass SBOMs nur mit Kunden geteilt werden sollten, wird die Begrenzung von SBOMs wahrscheinlich eine Herkulesaufgabe sein. SBOMs werden wahrscheinlich an die Öffentlichkeit gelangen, und die weit verbreitete Verfügbarkeit von Tools zum Generieren von SBOMs aus Binärdateien und Quellcode wird die Einschränkung ihrer Veröffentlichung zu einem strittigen Punkt machen.

„Nachdem wir lange genug in dieser Branche tätig waren, wissen wir, dass etwas, das privat ist, irgendwann öffentlich wird“, sagt er. „Es wird also immer jemanden geben, der die Informationen preisgibt [oder] jemand wird Geld für ein kommerzielles Tool ausgeben, um selbst SBOMs zu erstellen.“

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.