Hallituksen ja tietoturvan kannalta herkät yritykset vaativat yhä useammin ohjelmistojen valmistajia toimittamaan niille ohjelmistolaskuja (SBOM), mutta hyökkääjien käsissä sovelluksen muodostavien komponenttien luettelo voisi tarjota suunnitelman koodin hyödyntämiseen.
Hyökkääjä, joka määrittää, mitä ohjelmistoa kohdeyritys käyttää, voi hakea siihen liittyvän SBOM:n ja analysoida sovelluksen komponenttien heikkouksia lähettämättä yhtään pakettia, sanoo ohjelmistojen toimitusketjun tuotetietoturvatutkimuksen ja -analyysin johtaja Larry Pesce. turvallisuusyritys Finite State.
Nykyään hyökkääjien on usein suoritettava teknisiä analyysejä, lähdekoodin käänteistä ja tarkasteltava, onko paljaassa ohjelmistosovelluksessa tiettyjä tunnettuja haavoittuvia komponentteja löytääkseen haavoittuvan koodin. Kuitenkin, jos kohdeyritys ylläpitää julkisesti saatavilla olevia SBOM-kortteja, suuri osa tiedoista on jo saatavilla, sanoo Pesce, entinen penetraatiotestaaja 20 vuotta ja aikoo varoittaa riskeistä
esitys aiheesta "Evil SBOMs" toukokuussa järjestettävässä RSA-konferenssissa.
"Vastalaisena sinun on tehtävä suuri osa tästä työstä etukäteen, mutta jos yrityksiä vaaditaan toimittamaan SBOM-tiedostoja joko julkisesti tai asiakkaille, ja se… vuotaa muihin arkistoihin, sinun ei tarvitse tehdä mitään työtä, se on jo tehty puolestasi”, hän sanoo. "Joten se on vähän kuin - mutta ei aivan - Easy-painikkeen painamista."
SBOM:t yleistyvät nopeasti, ja yli puolet yrityksistä vaatii tällä hetkellä, että jokaiseen hakemukseen liitetään luettelo komponenteista. luku nousee 60 prosenttiin ensi vuonnaGartnerin mukaan. Pyrkimykset tehdä SBOM:ista vakiokäytäntö nähdä läpinäkyvyyden ja näkyvyyden ensimmäisinä askelina ohjelmistoteollisuuden auttamiseksi suojata tuotteensa paremmin. Konsepti on levinnyt jopa kriittisen infrastruktuurin sektorille, jossa energiajätti Southern Company aloitti hankkeen
luoda materiaaliluettelo kaikista laitteistoista, ohjelmistoista ja laiteohjelmistoista yhdellä sen Mississippin ala-asemalla.
SBOM:ien käyttäminen pahoihin kyberhyökkäystarkoituksiin
Yksityiskohtaisen luettelon ohjelmistokomponenteista sovelluksessa voi olla loukkaavia seurauksia, Pesce väittää. Esityksessään hän osoittaa, että SBOM:illa on tarpeeksi tietoa hyökkääjille etsiä tiettyjä CVE:itä SBOM-tietokannasta ja etsi sovellus, joka on todennäköisesti haavoittuvainen. Vielä parempi hyökkääjille, SBOM:t listaavat myös muita laitteen komponentteja ja apuohjelmia, joita hyökkääjä voisi käyttää "elämiseen maasta" kompromissin jälkeen, hän sanoo.
"Kun olen vaarantanut laitteen… SBOM voi kertoa minulle, mitä laitteen valmistaja on jättänyt kyseiseen laitteeseen, jota voisin mahdollisesti käyttää työkaluina muiden verkkojen tutkimisen aloittamiseen", hän sanoo.
SBOM-tietokenttien vähimmäisperustaso sisältää toimittajan, komponentin nimen ja version, riippuvuussuhteet ja aikaleiman siitä, milloin tiedot viimeksi päivitettiin,
Yhdysvaltain kauppaministeriön ohjeiden mukaan.
Itse asiassa kattavaa SBOM-tietokantaa voitaisiin käyttää samalla tavalla kuin Internetin Shodan-laskentaa: Puolustajat voisivat käyttää sitä nähdäkseen altistumisensa, mutta hyökkääjät voivat käyttää sitä määrittääkseen, mitkä sovellukset voivat olla haavoittuvia tietylle haavoittuvuudelle, Pesce. sanoo.
"Se olisi todella hieno projekti, ja rehellisesti sanottuna uskon, että tulemme luultavasti näkemään jotain sellaista - onko se yritys, joka tekee jättiläismäisen tietokannan tai se on jotain, jonka hallitus määrää", hän sanoo.
Red Team aikaisin ja usein
Kun Pesce mainitsi keskustelun yhdelle SBOM:n puolestapuhujalle, he väittivät, että hänen johtopäätöksensä vaikeuttaisivat kamppailua saada yritykset ottamaan käyttöön SBOM:t. Silti Pesce väittää, että nämä huolet menettää pointin. Sen sijaan sovellustietoturvatiimien tulisi ottaa huomioon sanonta, että "Punainen ilmoittaa sinisestä".
"Jos olet organisaatio, joka kuluttaa tai tuottaa SBOM:ia, tiedä, että tulee olemaan minun kaltaisiani ihmisiä - tai vielä pahempaa -, jotka käyttävät SBOM:ia pahaan", hän sanoo. "Käytä niitä siis itse pahaan: tuo ne osaksi yleistä haavoittuvuuden hallintaohjelmaasi; tuo ne osaksi kynätestiohjelmaasi; tuo ne osana turvallista kehitystyötäsi – tuo ne osaksi kaikkia sisäisiä turvallisuusohjelmiasi."
Vaikka ohjelmistojen valmistajat voisivat väittää, että SBOM-tiedostoja tulisi jakaa vain asiakkaiden kanssa, SBOM-tiedostojen rajoittaminen on todennäköisesti herkuleinen tehtävä. SBOM-tiedostot todennäköisesti vuotavat yleisölle, ja työkalujen laaja saatavuus SBOM-tiedostojen luomiseen binääritiedostoista ja lähdekoodista tekee niiden julkaisemisen rajoittamisesta kiistanalaisen kysymyksen.
"Olemme olleet tällä alalla tarpeeksi kauan, tiedämme, että kun jokin on yksityistä, se tulee lopulta julkiseksi", hän sanoo. "Joten aina on joku, joka vuotaa tietoja [tai] joku käyttää rahaa kaupalliseen työkaluun luodakseen SBOM-tiedostoja itse."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/application-security/cyberattack-gold-sboms-census-vulnerable-software
