دولت و شرکتهای حساس به امنیت بهطور فزایندهای از سازندگان نرمافزار میخواهند که صورتحسابهای نرمافزاری (SBOM) را به آنها ارائه دهند، اما در دست مهاجمان، فهرست اجزای سازنده یک برنامه میتواند طرحی برای بهرهبرداری از کد ارائه کند.
لری پسس، مدیر تحقیق و تحلیل امنیت محصول در زنجیره تامین نرمافزار میگوید مهاجمی که تعیین میکند چه نرمافزاری اجرا میکند، میتواند SBOM مرتبط را بازیابی کند و اجزای برنامه را برای نقاط ضعف تجزیه و تحلیل کند، همه اینها بدون ارسال یک بسته واحد. شرکت امنیتی Finite State.
امروزه، مهاجمان اغلب مجبورند تجزیه و تحلیل فنی انجام دهند، کد منبع را مهندسی معکوس کنند، و ببینند آیا اجزای آسیب پذیر شناخته شده خاصی در یک برنامه نرم افزاری در معرض دید وجود دارد تا کد آسیب پذیر را پیدا کنند. با این حال، اگر شرکت مورد نظر از SBOM هایی نگهداری کند که برای عموم قابل دسترسی هستند، بسیاری از این اطلاعات در حال حاضر در دسترس هستند، Pesce، یک آزمایش کننده نفوذ سابق 20 ساله که قصد دارد در مورد خطر در یک دستگاه هشدار دهد.
ارائه در مورد "SBOMs شیطانی" در کنفرانس RSA در ماه مه.
"به عنوان یک دشمن، شما باید بسیاری از این کارها را از قبل انجام دهید، اما اگر شرکت ها ملزم به ارائه SBOM ها، چه به صورت عمومی یا به مشتریان هستند، و ... به مخازن دیگر نشت می کند، شما نیازی به انجام هیچ کاری ندارید. کار، قبلاً برای شما انجام شده است. "بنابراین به نوعی - اما نه دقیقا - فشار دادن دکمه Easy است."
SBOM ها به سرعت در حال تکثیر هستند، به طوری که بیش از نیمی از شرکت ها در حال حاضر نیاز دارند که هر برنامه ای با لیستی از اجزا همراه باشد. رقمی که تا سال آینده به 60 درصد خواهد رسیدبه گفته گارتنر. تلاش برای تبدیل SBOM به یک روش استاندارد، شفافیت و دیده شدن را به عنوان اولین گام برای کمک به صنعت نرم افزار می بیند. محصولات خود را بهتر ایمن کنند. این مفهوم حتی به بخش زیرساخت های حیاتی گسترش یافته است، جایی که غول انرژی شرکت جنوبی پروژه ای را آغاز کرد
یک صورتحساب مواد برای تمام سخت افزار، نرم افزار و سیستم عامل ایجاد کنید در یکی از ایستگاه های فرعی آن در می سی سی پی.
استفاده از SBOM ها برای اهداف شیطانی حمله سایبری
Pesce استدلال میکند که تهیه فهرستی دقیق از اجزای نرمافزار در یک برنامه کاربردی میتواند پیامدهای توهین آمیزی داشته باشد. در ارائه خود، او نشان خواهد داد که SBOM ها اطلاعات کافی برای اجازه دادن به مهاجمان را دارند CVE های خاص را در پایگاه داده SBOM ها جستجو کنید و برنامه ای را پیدا کنید که احتمالاً آسیب پذیر است. او میگوید که حتی برای مهاجمان بهتر است، SBOMها سایر اجزا و ابزارهای کاربردی روی دستگاه را نیز فهرست میکنند که مهاجم میتواند برای «زندگی خارج از زمین» پس از سازش استفاده کند.
او میگوید: «وقتی دستگاهی را به خطر انداختم... یک SBOM میتواند به من بگوید که سازنده دستگاه چه چیزهایی را در آن دستگاه به جا گذاشته است که میتوانم به طور بالقوه از آن به عنوان ابزاری برای شروع کاوش در شبکههای دیگر استفاده کنم».
حداقل خط پایه برای فیلدهای داده SBOM شامل تامین کننده، نام و نسخه مؤلفه، روابط وابستگی، و مهر زمانی آخرین به روز رسانی اطلاعات است.
طبق دستورالعمل های وزارت بازرگانی ایالات متحده.
در واقع، یک پایگاه داده جامع از SBOM ها می تواند به روشی مشابه سرشماری Shodan اینترنت استفاده شود: مدافعان می توانند از آن برای مشاهده قرار گرفتن در معرض خود استفاده کنند، اما مهاجمان می توانند از آن برای تعیین اینکه چه برنامه هایی ممکن است در برابر یک آسیب پذیری خاص، Pesce آسیب پذیر باشند، استفاده کنند. می گوید.
او میگوید: «این یک پروژه واقعاً جالب خواهد بود، و صادقانه بگویم، من فکر میکنم ما احتمالاً به چنین چیزی خواهیم رفت - چه شرکتی باشد که یک پایگاه داده غولپیکر انجام دهد یا چیزی باشد که دولت اجباری کرده است».
تیم قرمز زودهنگام و اغلب
هنگامی که Pesce به صحبت با یکی از مدافعان SBOM اشاره کرد، آنها استدلال کردند که نتیجهگیریهای او تلاش برای ترغیب شرکتها به پذیرش SBOM را دشوارتر میکند. با این حال، پسچه استدلال میکند که این نگرانیها موضوع را از دست میدهند. در عوض، تیمهای امنیتی برنامه باید این ضرب المثل را جدی بگیرند که «قرمز به آبی اطلاع میدهد».
او میگوید: «اگر سازمانی هستید که SBOM را مصرف میکند یا تولید میکند، بدانید که افرادی مانند من - یا بدتر از آن - وجود خواهند داشت که از SBOM برای شرارت استفاده خواهند کرد. بنابراین خودتان از آنها برای شر استفاده کنید: آنها را به عنوان بخشی از برنامه مدیریت آسیب پذیری خود وارد کنید. آنها را به عنوان بخشی از برنامه تست قلم خود وارد کنید. آنها را به عنوان بخشی از چرخه عمر توسعه امن خود وارد کنید - آنها را به عنوان بخشی از همه برنامه های امنیت داخلی خود وارد کنید.
در حالی که سازندگان نرم افزار می توانند استدلال کنند که SBOM ها فقط باید با مشتریان به اشتراک گذاشته شوند، محدود کردن SBOM ها احتمالاً یک کار هرکول است. SBOM ها احتمالاً به عموم نشت می کنند و در دسترس بودن گسترده ابزارها برای تولید SBOM از باینری ها و از کد منبع، محدود کردن انتشار آنها را به یک موضوع بحث برانگیز تبدیل می کند.
او میگوید: «پس از مدتها حضور در این صنعت، میدانیم که وقتی چیزی خصوصی است، در نهایت عمومی میشود. بنابراین همیشه کسی وجود خواهد داشت که اطلاعات را فاش کند [یا] کسی برای یک ابزار تجاری پول خرج میکند تا خودش SBOM تولید کند.»
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/application-security/cyberattack-gold-sboms-census-vulnerable-software