生成的データ インテリジェンス

サイバーセキュリティ

サイバーアタック ゴールド: SBOM は脆弱なソフトウェアの簡単な調査を提供します

プラトンによって再発行
プラトンによって再発行

日付:

閲覧数: 0

政府やセキュリティに敏感な企業は、ソフトウェアメーカーに対してソフトウェア部品表(SBOM)の提供を求めるケースが増えているが、攻撃者の手に渡れば、アプリケーションを構成するコンポーネントのリストがコード悪用の青写真となる可能性がある。

ソフトウェア サプライ チェーンで製品セキュリティ調査および分析のディレクターを務めるラリー ペス氏は、「攻撃者は、標的となった企業がどのようなソフトウェアを実行しているかを特定し、関連する SBOM を取得し、アプリケーションのコンポーネントの弱点を分析することができます。これらはすべて、単一のパケットを送信することなく行われます」と述べています。証券会社フィニット・ステート。

現在、攻撃者は、脆弱なコードを見つけるために、技術分析を行ったり、ソース コードをリバース エンジニアリングしたり、公開されたソフトウェア アプリケーションに特定の既知の脆弱なコンポーネントが存在するかどうかを調べたりする必要があることがよくあります。しかし、標的となった企業が一般にアクセス可能な SBOM を維持している場合、その情報の多くはすでに入手可能であると、ペネトレーション テスターとして 20 年間勤務した元ペッシェ氏は述べ、今後このリスクについて警告する予定であると述べています。
「悪のSBOM」に関するプレゼンテーション 5月のRSAカンファレンスにて。

「敵対者としては、事前に多くの作業を行う必要がありますが、企業が公的または顧客に SBOM を提供する必要があり、それが…他のリポジトリに漏洩する場合は、何もする必要はありません。やるべきことはすでに終わっています」と彼は言います。 「つまり、正確ではありませんが、Easy ボタンを押すようなものです。」

SBOM は急速に普及しており、現在、半数以上の企業がアプリケーションにコンポーネントのリストを添付することを要求しています。 来年までに60%に達する数字、ガートナーによれば。 SBOM を標準的な実践にするための取り組みでは、ソフトウェア業界を支援するための最初のステップとして透明性と可視性を考慮しています 製品の安全性を高める。この概念は重要インフラ分野にも広がり、エネルギー大手サザン・カンパニーは、
すべてのハードウェア、ソフトウェア、ファームウェアの部品表を作成する ミシシッピ州の変電所の一つで。

悪意のあるサイバー攻撃目的での SBOM の使用

アプリケーション内のソフトウェア コンポーネントの詳細なリストを作成することは、攻撃的な影響を与える可能性があるとペッシェ氏は主張します。彼のプレゼンテーションでは、SBOM には攻撃者が実行できる十分な情報があることを示します。 SBOM のデータベースで特定の CVE を検索する 脆弱性がある可能性のあるアプリケーションを見つけます。攻撃者にとってさらに良いのは、SBOM には、攻撃者が侵害後に「その土地で生活する」ために使用できるデバイス上の他のコンポーネントやユーティリティもリストされることだ、と同氏は言う。

「デバイスを侵害すると、SBOM はデバイスのメーカーがそのデバイスに何を残したかを教えてくれるので、他のネットワークの調査を開始するためのツールとして使用できる可能性があります」と彼は言います。

SBOM データ フィールドの最小ベースラインには、サプライヤー、コンポーネントの名前とバージョン、依存関係、情報が最後に更新されたときのタイムスタンプが含まれます。
米国商務省のガイドラインによると.

実際、SBOM の包括的なデータベースは、インターネットの Shodan 国勢調査と同様の方法で使用できます。防御者はこれを使用して、その危険性を確認できますが、攻撃者は、どのアプリケーションが特定の脆弱性に対して脆弱であるかを判断するために使用できます、とペッシェ氏は述べています。と言う。

「それは本当に素晴らしいプロジェクトでしょう。正直に言って、私たちはおそらくそのようなプロジェクトを行うことになると思います。それが巨大なデータベースを開発する会社であろうと、政府が義務付けるものであろうと」と彼は言います。

レッドチームは早期かつ頻繁に

ペッシェ氏が、あるSBOM支持者との会談について言及したとき、彼らは、彼の結論が企業にSBOMを導入させるための闘いをさらに困難にするだろうと主張した。しかしペッシェ氏は、こうした懸念は的外れだと主張する。代わりに、アプリケーション セキュリティ チームは、「赤は青に情報を与える」という格言を心にとめる必要があります。

「SBOM を使用または生成している組織の場合は、SBOM を悪のために使用しようとする私のような、あるいはもっと悪いことに、悪事に利用しようとする人々が存在することを知っておいてください。」と彼は言います。 「だから、あなた自身が悪のためにそれらを使用してください。全体的な脆弱性管理プログラムの一部としてそれらを導入してください。侵入テスト プログラムの一部としてそれらを導入します。それらを安全な開発ライフサイクルの一部として取り入れてください。すべての内部セキュリティ プログラムの一部として取り入れてください。」

ソフトウェアメーカーは、SBOMは顧客とのみ共有すべきだと主張するかもしれないが、SBOMを制限するのは大変な作業になるだろう。 SBOM は一般に漏洩する可能性が高く、バイナリやソース コードから SBOM を生成するツールが広く普及しているため、SBOM の公開を制限することは議論の余地があるでしょう。

「この業界に長く携わっていると、何かが非公開であっても、最終的には公開されることを私たちは知っています」と彼は言います。 「したがって、情報を漏洩する誰かが常に存在するでしょう。または誰かが商用ツールにお金を費やして独自にSBOMを生成するでしょう。」

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.