Inteligencia de datos generativa

Ciberseguridad

Cyberattack Gold: los SBOM ofrecen un censo sencillo de software vulnerable

Republicado por Platón
Republicado por Platón

Fecha:

Vistas: 0

El gobierno y las empresas sensibles a la seguridad exigen cada vez más a los fabricantes de software que les proporcionen listas de materiales de software (SBOM), pero en manos de los atacantes, la lista de componentes que componen una aplicación podría proporcionar un modelo para explotar el código.

Un atacante que determina qué software está ejecutando una empresa objetivo, puede recuperar el SBOM asociado y analizar los componentes de la aplicación en busca de debilidades, todo sin enviar un solo paquete, dice Larry Pesce, director de investigación y análisis de seguridad de productos en la cadena de suministro de software. empresa de seguridad Finite State.

Hoy en día, los atacantes a menudo tendrán que realizar análisis técnicos, aplicar ingeniería inversa al código fuente y observar si existen componentes específicos vulnerables conocidos en una aplicación de software expuesta para poder encontrar código vulnerable. Sin embargo, si la empresa objetivo mantiene SBOM que son de acceso público, entonces mucha de esa información ya está disponible, dice Pesce, un ex probador de penetración durante 20 años que planea advertir sobre el riesgo en un
presentación sobre “SBOM malvados” en la Conferencia RSA en mayo.

"Como adversario, tienes que hacer mucho de ese trabajo por adelantado, pero si se requiere que las empresas proporcionen SBOM, ya sea públicamente o a los clientes, y eso... se filtra a otros repositorios, no tienes que hacer nada". trabajo, ya está hecho para ti”, dice. "Así que es como, aunque no exactamente, presionar el botón Fácil".

Los SBOM están proliferando rápidamente y más de la mitad de las empresas exigen actualmente que cualquier aplicación vaya acompañada de una lista de componentes: una cifra que alcanzará el 60% el próximo año, según Gartner. Los esfuerzos para hacer de los SBOM una práctica estándar ven la transparencia y la visibilidad como los primeros pasos para ayudar a la industria del software. asegurar mejor sus productos. El concepto se ha extendido incluso al sector de infraestructuras críticas, donde el gigante energético Southern Company se embarcó en un proyecto para
crear una lista de materiales para todo el hardware, software y firmware en una de sus subestaciones en Mississippi.

Uso de SBOM con fines de ciberataques malvados

Producir una lista detallada de componentes de software en una aplicación puede tener implicaciones ofensivas, sostiene Pesce. En su presentación, mostrará que los SBOM tienen suficiente información para permitir a los atacantes buscar CVE específicos en una base de datos de SBOM y encuentre una aplicación que probablemente sea vulnerable. Aún mejor para los atacantes, los SBOM también enumerarán otros componentes y utilidades en el dispositivo que el atacante podría usar para “vivir de la tierra” después del compromiso, afirma.

"Una vez que he comprometido un dispositivo... un SBOM puede decirme qué dejó el fabricante del dispositivo en ese dispositivo que podría usar como herramienta para comenzar a sondear otras redes", dice.

La línea de base mínima para los campos de datos de SBOM incluye el proveedor, el nombre y la versión del componente, las relaciones de dependencia y una marca de tiempo de la última vez que se actualizó la información.
según las directrices del Departamento de Comercio de EE. UU..

De hecho, una base de datos completa de SBOM podría usarse de manera similar al censo Shodan de Internet: los defensores podrían usarla para ver su exposición, pero los atacantes podrían usarla para determinar qué aplicaciones podrían ser vulnerables a una vulnerabilidad particular, Pesce dice.

"Ese sería un proyecto realmente genial y, sinceramente, creo que probablemente veremos algo así, ya sea una empresa que crea una base de datos gigante o algo que exige el gobierno", afirma.

Equipo rojo temprano y con frecuencia

Cuando Pesce mencionó la conversación con un defensor de SBOM, este argumentó que sus conclusiones harían más difícil la lucha para lograr que las empresas adopten SBOM. Sin embargo, Pesce sostiene que esas preocupaciones no son válidas. En cambio, los equipos de seguridad de aplicaciones deberían tomar en serio el dicho de que "el rojo informa al azul".

"Si eres una organización que consume o genera SBOM, debes saber que habrá personas como yo, o peores, que usarán SBOM para el mal", dice. “Así que úselos usted mismo para el mal: tráigalos como parte de su programa general de gestión de vulnerabilidades; tráigalos como parte de su programa de prueba de penetración; introdúzcalos como parte de su ciclo de vida de desarrollo seguro; introdúzcalos como parte de todos sus programas de seguridad internos”.

Si bien los fabricantes de software podrían argumentar que los SBOM solo deben compartirse con los clientes, limitarlos probablemente será una tarea hercúlea. Es probable que los SBOM se filtren al público, y la disponibilidad generalizada de herramientas para generar SBOM a partir de archivos binarios y de código fuente hará que limitar su publicación sea un punto discutible.

"Después de estar en esta industria el tiempo suficiente, sabemos que cuando algo es privado, eventualmente se volverá público", dice. "Por lo tanto, siempre habrá alguien que filtre la información [o] alguien gastará dinero en una herramienta comercial para generar SBOM por su cuenta".

punto_img

Información más reciente

punto_img

Derechos de autor @ 2024 Plato Technologies Inc.