دولت و شرکت‌های حساس به امنیت به‌طور فزاینده‌ای از سازندگان نرم‌افزار می‌خواهند که صورت‌حساب‌های نرم‌افزاری (SBOM) را به آنها ارائه دهند، اما در دست مهاجمان، فهرست اجزای سازنده یک برنامه می‌تواند طرحی برای بهره‌برداری از کد ارائه کند.

لری پسس، مدیر تحقیق و تحلیل امنیت محصول در زنجیره تامین نرم‌افزار می‌گوید مهاجمی که تعیین می‌کند چه نرم‌افزاری اجرا می‌کند، می‌تواند SBOM مرتبط را بازیابی کند و اجزای برنامه را برای نقاط ضعف تجزیه و تحلیل کند، همه اینها بدون ارسال یک بسته واحد. شرکت امنیتی Finite State.

امروزه، مهاجمان اغلب مجبورند تجزیه و تحلیل فنی انجام دهند، کد منبع را مهندسی معکوس کنند، و ببینند آیا اجزای آسیب پذیر شناخته شده خاصی در یک برنامه نرم افزاری در معرض دید وجود دارد تا کد آسیب پذیر را پیدا کنند. با این حال، اگر شرکت مورد نظر از SBOM هایی نگهداری کند که برای عموم قابل دسترسی هستند، بسیاری از این اطلاعات در حال حاضر در دسترس هستند، Pesce، یک آزمایش کننده نفوذ سابق 20 ساله که قصد دارد در مورد خطر در یک دستگاه هشدار دهد.
ارائه در مورد "SBOMs شیطانی" در کنفرانس RSA در ماه مه.

"به عنوان یک دشمن، شما باید بسیاری از این کارها را از قبل انجام دهید، اما اگر شرکت ها ملزم به ارائه SBOM ها، چه به صورت عمومی یا به مشتریان هستند، و ... به مخازن دیگر نشت می کند، شما نیازی به انجام هیچ کاری ندارید. کار، قبلاً برای شما انجام شده است. "بنابراین به نوعی - اما نه دقیقا - فشار دادن دکمه Easy است."

SBOM ها به سرعت در حال تکثیر هستند، به طوری که بیش از نیمی از شرکت ها در حال حاضر نیاز دارند که هر برنامه ای با لیستی از اجزا همراه باشد. رقمی که تا سال آینده به 60 درصد خواهد رسیدبه گفته گارتنر. تلاش برای تبدیل SBOM به یک روش استاندارد، شفافیت و دیده شدن را به عنوان اولین گام برای کمک به صنعت نرم افزار می بیند. محصولات خود را بهتر ایمن کنند. این مفهوم حتی به بخش زیرساخت های حیاتی گسترش یافته است، جایی که غول انرژی شرکت جنوبی پروژه ای را آغاز کرد
یک صورتحساب مواد برای تمام سخت افزار، نرم افزار و سیستم عامل ایجاد کنید در یکی از ایستگاه های فرعی آن در می سی سی پی.

استفاده از SBOM ها برای اهداف شیطانی حمله سایبری

Pesce استدلال می‌کند که تهیه فهرستی دقیق از اجزای نرم‌افزار در یک برنامه کاربردی می‌تواند پیامدهای توهین آمیزی داشته باشد. در ارائه خود، او نشان خواهد داد که SBOM ها اطلاعات کافی برای اجازه دادن به مهاجمان را دارند CVE های خاص را در پایگاه داده SBOM ها جستجو کنید و برنامه ای را پیدا کنید که احتمالاً آسیب پذیر است. او می‌گوید که حتی برای مهاجمان بهتر است، SBOM‌ها سایر اجزا و ابزارهای کاربردی روی دستگاه را نیز فهرست می‌کنند که مهاجم می‌تواند برای «زندگی خارج از زمین» پس از سازش استفاده کند.

او می‌گوید: «وقتی دستگاهی را به خطر انداختم... یک SBOM می‌تواند به من بگوید که سازنده دستگاه چه چیزهایی را در آن دستگاه به جا گذاشته است که می‌توانم به طور بالقوه از آن به عنوان ابزاری برای شروع کاوش در شبکه‌های دیگر استفاده کنم».

حداقل خط پایه برای فیلدهای داده SBOM شامل تامین کننده، نام و نسخه مؤلفه، روابط وابستگی، و مهر زمانی آخرین به روز رسانی اطلاعات است.
طبق دستورالعمل های وزارت بازرگانی ایالات متحده.

در واقع، یک پایگاه داده جامع از SBOM ها می تواند به روشی مشابه سرشماری Shodan اینترنت استفاده شود: مدافعان می توانند از آن برای مشاهده قرار گرفتن در معرض خود استفاده کنند، اما مهاجمان می توانند از آن برای تعیین اینکه چه برنامه هایی ممکن است در برابر یک آسیب پذیری خاص، Pesce آسیب پذیر باشند، استفاده کنند. می گوید.

او می‌گوید: «این یک پروژه واقعاً جالب خواهد بود، و صادقانه بگویم، من فکر می‌کنم ما احتمالاً به چنین چیزی خواهیم رفت - چه شرکتی باشد که یک پایگاه داده غول‌پیکر انجام دهد یا چیزی باشد که دولت اجباری کرده است».

تیم قرمز زودهنگام و اغلب

هنگامی که Pesce به صحبت با یکی از مدافعان SBOM اشاره کرد، آنها استدلال کردند که نتیجه‌گیری‌های او تلاش برای ترغیب شرکت‌ها به پذیرش SBOM را دشوارتر می‌کند. با این حال، پسچه استدلال می‌کند که این نگرانی‌ها موضوع را از دست می‌دهند. در عوض، تیم‌های امنیتی برنامه باید این ضرب المثل را جدی بگیرند که «قرمز به آبی اطلاع می‌دهد».

او می‌گوید: «اگر سازمانی هستید که SBOM را مصرف می‌کند یا تولید می‌کند، بدانید که افرادی مانند من - یا بدتر از آن - وجود خواهند داشت که از SBOM برای شرارت استفاده خواهند کرد. بنابراین خودتان از آنها برای شر استفاده کنید: آنها را به عنوان بخشی از برنامه مدیریت آسیب پذیری خود وارد کنید. آنها را به عنوان بخشی از برنامه تست قلم خود وارد کنید. آنها را به عنوان بخشی از چرخه عمر توسعه امن خود وارد کنید - آنها را به عنوان بخشی از همه برنامه های امنیت داخلی خود وارد کنید.

در حالی که سازندگان نرم افزار می توانند استدلال کنند که SBOM ها فقط باید با مشتریان به اشتراک گذاشته شوند، محدود کردن SBOM ها احتمالاً یک کار هرکول است. SBOM ها احتمالاً به عموم نشت می کنند و در دسترس بودن گسترده ابزارها برای تولید SBOM از باینری ها و از کد منبع، محدود کردن انتشار آنها را به یک موضوع بحث برانگیز تبدیل می کند.

او می‌گوید: «پس از مدت‌ها حضور در این صنعت، می‌دانیم که وقتی چیزی خصوصی است، در نهایت عمومی می‌شود. بنابراین همیشه کسی وجود خواهد داشت که اطلاعات را فاش کند [یا] کسی برای یک ابزار تجاری پول خرج می‌کند تا خودش SBOM تولید کند.»

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/application-security/cyberattack-gold-sboms-census-vulnerable-software