정부와 보안에 민감한 기업은 점점 더 소프트웨어 제조업체에 소프트웨어 자재 명세서(SBOM)를 제공하도록 요구하고 있지만, 공격자의 손에서는 애플리케이션을 구성하는 구성 요소 목록이 코드 악용을 위한 청사진을 제공할 수 있습니다.
소프트웨어 공급망의 제품 보안 연구 및 분석 담당 이사인 래리 페스(Larry Pesce)는 표적 회사가 실행 중인 소프트웨어가 무엇인지 파악하는 공격자가 단일 패킷을 보내지 않고도 관련 SBOM을 검색하고 애플리케이션 구성 요소의 약점을 분석할 수 있다고 말합니다. 보안업체 Finite State.
오늘날 공격자는 취약한 코드를 찾기 위해 기술 분석, 소스 코드 리버스 엔지니어링을 수행하고 노출된 소프트웨어 애플리케이션에 알려진 취약한 특정 구성 요소가 있는지 확인해야 하는 경우가 많습니다. 그러나 대상 회사가 공개적으로 액세스할 수 있는 SBOM을 유지한다면 해당 정보의 상당 부분은 이미 사용 가능하다고 20년간 침투 테스터로 활동해 온 Pesce는 말합니다.
"사악한 SBOM"에 대한 프레젠테이션 지난 5월 RSA 컨퍼런스에서
“적 입장에서는 많은 작업을 미리 수행해야 하지만 기업이 공개적으로든 고객에게든 SBOM을 제공해야 하고 그 정보가 다른 저장소로 유출되는 경우 아무 조치도 취할 필요가 없습니다. 일은 이미 당신을 위해 이루어졌습니다.”라고 그는 말합니다. "그래서 이것은 Easy 버튼을 누르는 것과 비슷하지만 정확히는 아닙니다."
SBOM은 빠르게 확산되고 있으며 현재 기업의 절반 이상이 모든 애플리케이션에 구성 요소 목록을 첨부하도록 요구하고 있습니다. 내년에는 60%에 이를 것, Gartner에 따르면. SBOM을 표준 관행으로 만들기 위한 노력은 투명성과 가시성을 소프트웨어 산업을 돕는 첫 번째 단계로 봅니다. 제품 보안 강화. 이 개념은 에너지 거대 기업인 Southern Company가
모든 하드웨어, 소프트웨어, 펌웨어에 대한 BOM을 작성합니다. 미시시피에 있는 변전소 중 하나에서요.
사악한 사이버 공격 목적으로 SBOM 사용
Pesce는 애플리케이션의 소프트웨어 구성 요소에 대한 자세한 목록을 생성하는 것은 공격적인 의미를 가질 수 있다고 주장합니다. 프레젠테이션에서 그는 SBOM이 공격자가 다음을 수행할 수 있을 만큼 충분한 정보를 가지고 있음을 보여줄 것입니다. SBOM 데이터베이스에서 특정 CVE 검색 취약할 가능성이 있는 애플리케이션을 찾습니다. 공격자에게 더 좋은 점은 SBOM이 공격자가 손상 후 "토지에서 생활"하는 데 사용할 수 있는 장치의 다른 구성 요소와 유틸리티도 나열한다는 것입니다.
“장치를 손상시킨 후에는 SBOM을 통해 장치 제조업체가 해당 장치에 남겨둔 것이 무엇인지 알려줄 수 있으며, 이를 통해 잠재적으로 다른 네트워크 조사를 시작하는 도구로 사용할 수 있습니다.”라고 그는 말합니다.
SBOM 데이터 필드의 최소 기준에는 공급자, 구성 요소 이름 및 버전, 종속 관계, 정보가 마지막으로 업데이트된 타임스탬프가 포함됩니다.
미국 상무부의 지침에 따르면.
실제로 SBOM의 포괄적인 데이터베이스는 인터넷의 Shodan 인구 조사와 유사한 방식으로 사용될 수 있습니다. 방어자는 이를 사용하여 노출을 확인할 수 있지만 공격자는 이를 사용하여 특정 취약점에 취약할 수 있는 응용 프로그램을 확인할 수 있습니다. 말한다.
"그것은 정말 멋진 프로젝트가 될 것입니다. 그리고 솔직히 말해서 우리는 그것이 거대한 데이터베이스를 수행하는 회사이든, 정부가 명령하는 것이든 간에 아마도 그런 일을 보게 될 것이라고 생각합니다."라고 그는 말합니다.
레드팀 조기 및 자주
Pesce가 한 SBOM 옹호자에게 이 이야기를 언급했을 때 그들은 그의 결론이 기업이 SBOM을 채택하도록 하는 노력을 더욱 어렵게 만들 것이라고 주장했습니다. 그러나 Pesce는 이러한 우려가 핵심을 놓치고 있다고 주장합니다. 대신 애플리케이션 보안 팀은 "Red가 Blue에 정보를 제공한다"는 격언을 마음에 새겨야 합니다.
"SBOM을 소비하거나 생성하는 조직이라면 나 같은 사람, 또는 더 나쁜 사람이 SBOM을 악용할 것이라는 사실을 알아 두십시오."라고 그는 말합니다. “그러므로 이를 악용하여 사용하십시오. 전체 취약점 관리 프로그램의 일부로 사용하십시오. 펜 테스트 프로그램의 일부로 가져오십시오. 보안 개발 수명주기의 일부로 가져오세요. 모든 내부 보안 프로그램의 일부로 가져오세요.”
소프트웨어 제조업체는 SBOM을 고객과만 공유해야 한다고 주장할 수 있지만 SBOM을 제한하는 것은 어려운 작업이 될 가능성이 높습니다. SBOM은 대중에게 유출될 가능성이 높으며, 바이너리와 소스 코드에서 SBOM을 생성하는 도구가 광범위하게 제공되므로 게시를 제한하는 것이 논란의 여지가 있습니다.
“이 업계에 오랫동안 몸담아 본 우리는 어떤 것이 비공개라면 결국 공개될 것이라는 사실을 알고 있습니다.”라고 그는 말합니다. "그러므로 정보를 유출하는 사람이 항상 있거나 누군가가 스스로 SBOM을 생성하기 위해 상용 도구에 돈을 쓸 것입니다."
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/application-security/cyberattack-gold-sboms-census-vulnerable-software
