Государственные и чувствительные к безопасности компании все чаще требуют от производителей программного обеспечения предоставления им спецификаций программного обеспечения (SBOM), но в руках злоумышленников список компонентов, составляющих приложение, может стать основой для взлома кода.
Злоумышленник, который определяет, какое программное обеспечение использует целевая компания, может получить соответствующий SBOM и проанализировать компоненты приложения на наличие слабых мест, не отправляя ни единого пакета, говорит Ларри Песке, директор по исследованиям и анализу безопасности продуктов в цепочке поставок программного обеспечения. охранная фирма Finite State.
Сегодня злоумышленникам часто приходится проводить технический анализ, перепроектировать исходный код и проверять, существуют ли конкретные известные уязвимые компоненты в открытом программном приложении, чтобы найти уязвимый код. Тем не менее, если целевая компания поддерживает общедоступные SBOM, то большая часть этой информации уже доступна, говорит Пеше, бывший пентестер с 20-летним стажем, который планирует предупредить о риске в
презентация на тему «Злые СБОМы» на конференции ЮАР в мае.
«Как противнику, вам придется проделать большую часть этой работы заранее, но если компании обязаны предоставлять SBOM публично или клиентам, и это… просачивается в другие репозитории, вам не нужно ничего делать. работа, она уже сделана за тебя», — говорит он. «Так что это что-то вроде — но не совсем — нажатия кнопки Easy».
SBOM быстро распространяются: более половины компаний в настоящее время требуют, чтобы любое приложение сопровождалось списком компонентов. цифра, которая достигнет 60% к следующему году, по данным Gartner. Усилия по превращению SBOM в стандартную практику рассматривают прозрачность и прозрачность как первые шаги, которые помогут индустрии программного обеспечения. лучше защищать свою продукцию. Эта концепция распространилась даже на сектор критической инфраструктуры, где энергетический гигант Southern Company приступил к осуществлению проекта по
создать спецификацию для всего оборудования, программного обеспечения и прошивки на одной из своих подстанций в Миссисипи.
Использование SBOM для злых целей кибератак
По мнению Пеше, создание подробного списка программных компонентов в приложении может иметь оскорбительные последствия. В своей презентации он покажет, что SBOM имеют достаточно информации, чтобы позволить злоумышленникам поиск конкретных CVE в базе данных SBOM и найдите приложение, которое, вероятно, уязвимо. Еще лучше для злоумышленников то, что SBOM также будет перечислять другие компоненты и утилиты на устройстве, которые злоумышленник может использовать для «жизни за счет земли» после компрометации, говорит он.
«Как только я скомпрометировал устройство… SBOM может сказать мне, что производитель устройства оставил на этом устройстве, что я потенциально мог бы использовать в качестве инструментов для начала исследования других сетей», — говорит он.
Минимальный базовый уровень для полей данных SBOM включает поставщика, имя и версию компонента, отношения зависимостей и временную метку последнего обновления информации.
в соответствии с рекомендациями Министерства торговли США.
Фактически, обширная база данных SBOM может использоваться аналогично переписи Интернета Shodan: защитники могут использовать ее, чтобы увидеть свои уязвимости, а злоумышленники могут использовать ее, чтобы определить, какие приложения могут быть уязвимы для конкретной уязвимости, Пеше говорит.
«Это был бы действительно крутой проект, и, честно говоря, я думаю, что мы, вероятно, увидим что-то подобное — будь то компания, создающая гигантскую базу данных, или что-то, что санкционировано правительством», — говорит он.
Красная команда рано и часто
Когда Пеше упомянул об этой беседе с одним из сторонников SBOM, они заявили, что его выводы усложнят борьбу за то, чтобы компании приняли SBOM. Тем не менее, Пеше утверждает, что эти опасения упускают из виду суть. Вместо этого командам по безопасности приложений следует принять близко к сердцу пословицу: «Красный информирует синий».
«Если вы представляете организацию, которая потребляет или производит SBOM, знайте, что найдутся люди вроде меня — или того хуже — которые будут использовать SBOM во зло», — говорит он. «Так что используйте их во зло сами: включите их в свою общую программу управления уязвимостями; включите их в свою программу проверки пера; включите их в свой жизненный цикл безопасной разработки — включите их во все свои программы внутренней безопасности».
Хотя производители программного обеспечения могут утверждать, что SBOM следует предоставлять только клиентам, ограничение SBOM, вероятно, будет непростой задачей. SBOM, скорее всего, станут достоянием общественности, а широкая доступность инструментов для создания SBOM из двоичных файлов и исходного кода сделает ограничение их публикации спорным вопросом.
«Проработав в этой отрасли достаточно долго, мы знаем, что когда что-то является частным, в конечном итоге оно становится публичным», — говорит он. «Поэтому всегда будет кто-то, кто сливает информацию, [или] кто-то потратит деньги на коммерческий инструмент, чтобы самостоятельно создавать SBOM».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/application-security/cyberattack-gold-sboms-census-vulnerable-software
