ממשלה וחברות רגישות לאבטחה דורשות יותר ויותר מיצרניות תוכנה לספק להן רשימות חומרי תוכנה (SBOM), אך בידי התוקפים, רשימת הרכיבים המרכיבים אפליקציה יכולה לספק תוכנית לניצול הקוד.
תוקף שקובע איזו תוכנה מפעילה חברה ממוקדת, יכול לאחזר את ה-SBOM המשויך ולנתח את רכיבי האפליקציה עבור חולשות, הכל מבלי לשלוח חבילה אחת, אומר לארי פסה, מנהל מחקר וניתוח אבטחת מוצרים בשרשרת האספקה של תוכנה. חברת האבטחה Finite State.
כיום, תוקפים יצטרכו לעתים קרובות לבצע ניתוח טכני, לבצע הנדסה לאחור של קוד מקור ולבדוק אם קיימים רכיבים ידועים ופגיעים ספציפיים ביישום תוכנה חשוף על מנת למצוא קוד פגיע. עם זאת, אם החברה הממוקדת מתחזקת SBOMs נגישים לציבור, אז הרבה מהמידע הזה כבר זמין, אומר Pesce, בוחן חדירה לשעבר בן 20 שנה שמתכנן להזהיר מפני הסיכון ב-
מצגת על "BOMs Evil" בכנס RSA במאי.
"כיריב, אתה צריך לעשות הרבה מהעבודה הזו מראש, אבל אם חברות נדרשות לספק SBOMs, בין אם בפומבי או ללקוחות, וזה... זולג החוצה למאגרים אחרים, אתה לא צריך לעשות שום דבר עבודה, זה כבר נעשה בשבילך", הוא אומר. "אז זה בערך כמו - אבל לא בדיוק - לחיצה על כפתור הקל."
SBOMs מתרבים במהירות, כאשר יותר ממחצית מהחברות דורשות כיום שכל יישום יהיה מלווה ברשימת רכיבים - מספר שיגיע ל-60% עד השנה הבאה, לפי גרטנר. המאמצים להפוך את SBOM לנוהג סטנדרטי רואים בשקיפות ובנראות את הצעדים הראשונים לעזור לתעשיית התוכנה לאבטח טוב יותר את המוצרים שלהם. הרעיון אף התפשט למגזר התשתיות הקריטיות, שם יצאה ענקית האנרגיה Southern Company בפרויקט
צור כתב חומרים עבור כל החומרה, התוכנה והקושחה באחת מתחנות המשנה שלה במיסיסיפי.
שימוש ב-SBOM למטרות מתקפת סייבר מרושעת
הפקת רשימה מפורטת של רכיבי תוכנה באפליקציה יכולה להיות בעלת השלכות פוגעניות, טוען Pesce. במצגת שלו, הוא יראה של-SBOM יש מספיק מידע כדי לאפשר לתוקפים חפש CVEs ספציפיים במסד נתונים של SBOMs ולמצוא אפליקציה שסביר להניח שהיא פגיעה. אפילו טוב יותר עבור תוקפים, SBOMs יפרטו גם רכיבים וכלי עזר אחרים במכשיר שבהם יכול התוקף להשתמש כדי "לחיות מהאדמה" לאחר הפשרה, הוא אומר.
"ברגע שהתפשרתי על מכשיר... SBOM יכול להגיד לי מה יצרן המכשיר השאיר מאחור במכשיר הזה שאוכל להשתמש בו ככלי להתחיל לחקור רשתות אחרות", הוא אומר.
קו הבסיס המינימלי עבור שדות נתוני SBOM כולל את הספק, שם הרכיב והגרסה, קשרי תלות וחותמת זמן של מתי המידע עודכן לאחרונה,
על פי הנחיות משרד המסחר האמריקאי.
למעשה, ניתן להשתמש במסד נתונים מקיף של SBOMs באופן דומה למפקד שודן של האינטרנט: מגינים יכולים להשתמש בו כדי לראות את החשיפה שלהם, אבל התוקפים יכולים להשתמש בו כדי לקבוע אילו יישומים עשויים להיות פגיעים לפגיעות מסוימת, Pesce אומר.
"זה יהיה פרויקט ממש מגניב, ולמען האמת, אני חושב שאנחנו כנראה הולכים למשהו כזה - בין אם זו חברה שעושה מסד נתונים ענק או שזה משהו שהממשלה מחייבת", הוא אומר.
צוות אדום מוקדם ולעתים קרובות
כשפסה הזכיר את השיחה עם אחד מנציגי SBOM, הם טענו שמסקנותיו יהפכו את המאבק לגרום לחברות לאמץ SBOMs לקשה יותר. עם זאת, פסה טוען שהחששות הללו מפספסים את הנקודה. במקום זאת, צוותי אבטחת יישומים צריכים לקחת ללב את הפתגם ש"אדום מודיע לבלו".
"אם אתה ארגון שצורך או מייצר SBOMs, דע שיהיו אנשים כמוני - או גרוע מכך - שישתמשו ב-SBOM לרע", הוא אומר. "אז השתמש בהם לרוע בעצמך: הבא אותם כחלק מתוכנית ניהול הפגיעות הכוללת שלך; להביא אותם כחלק מתוכנית בדיקת העט שלך; הבא אותם כחלק ממחזור חיי הפיתוח המאובטח שלך - הבא אותם כחלק מכל תוכניות האבטחה הפנימית שלך."
בעוד שיצרני תוכנה יכולים לטעון שיש לחלוק SBOMs רק עם לקוחות, הגבלת SBOMs תהיה כנראה משימה הרקוליאנית. SBOMs ככל הנראה ידלפו לציבור, והזמינות הנרחבת של כלים להפקת SBOMs מקבצים בינאריים ומקוד מקור תהפוך את הגבלת פרסומם לנקודת מחלוקת.
"אחרי שהיינו בתעשייה הזו מספיק זמן, אנחנו יודעים שכאשר משהו פרטי, הוא בסופו של דבר יהפוך לציבורי", הוא אומר. "אז תמיד יהיה מישהו שידליף את המידע [או] שמישהו יוציא כסף על כלי מסחרי שייצור SBOM בעצמו."
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/application-security/cyberattack-gold-sboms-census-vulnerable-software
