Урядові та чутливі до безпеки компанії все частіше вимагають від виробників програмного забезпечення надання їм опису матеріалів (SBOM), але в руках зловмисників список компонентів, що входять до програми, може стати планом для використання коду.
Зловмисник, який визначає, яке програмне забезпечення використовує цільова компанія, може отримати пов’язаний SBOM і проаналізувати компоненти програми на наявність слабких місць, не надсилаючи жодного пакету, каже Ларрі Пеше, директор із дослідження та аналізу безпеки продуктів у ланцюжку постачання програмного забезпечення. охоронна фірма Finite State.
Сьогодні зловмисникам часто доводиться проводити технічний аналіз, розробляти вихідний код і перевіряти, чи існують певні відомі вразливі компоненти у відкритому програмному забезпеченні, щоб знайти вразливий код. Проте, якщо цільова компанія підтримує SBOM, які є загальнодоступними, тоді багато цієї інформації вже доступно, каже Пеше, колишній тестувальник проникнення 20 років, який планує попередити про ризик у
презентація на тему «Злі СБОМи» на конференції РДА у травні.
«Як супротивник, вам доводиться виконувати багато цієї роботи заздалегідь, але якщо від компаній вимагають надавати SBOM публічно або клієнтам, і це … витікає в інші сховища, вам не потрібно робити нічого робота, це вже зроблено за вас», — каже він. «Тож це схоже на — але не зовсім — натискання кнопки Easy».
SBOM швидко поширюється, і наразі більше половини компаній вимагають, щоб будь-яка заявка супроводжувалася списком компонентів — число, яке досягне 60% до наступного року, за даними Gartner. Прагнення зробити SBOM стандартною практикою розглядають прозорість і видимість як перші кроки, щоб допомогти індустрії програмного забезпечення краще захищати свої продукти. Ця концепція поширилася навіть на сектор критичної інфраструктури, де енергетичний гігант Southern Company розпочав проект з
створити перелік матеріалів для всього апаратного, програмного та мікропрограмного забезпечення на одній зі своїх підстанцій у Міссісіпі.
Використання SBOM для злих цілей кібератак
Створення детального списку програмних компонентів у програмі може мати образливі наслідки, стверджує Пеше. У своїй презентації він покаже, що SBOM мають достатньо інформації, щоб дозволити зловмисникам пошук конкретних CVE в базі даних SBOM і знайти програму, яка ймовірно вразлива. За його словами, ще краще для зловмисників те, що SBOM також перелічить інші компоненти та утиліти на пристрої, які зловмисник може використовувати для «життя за рахунок землі» після зламу.
«Якщо я скомпрометував пристрій… SBOM може сказати мені, що виробник пристрою залишив на цьому пристрої, що я потенційно міг би використати як інструменти для початку дослідження інших мереж», — каже він.
Мінімальна базова лінія для полів даних SBOM включає постачальника, назву та версію компонента, зв’язки залежностей і мітку часу останнього оновлення інформації,
відповідно до вказівок Міністерства торгівлі США.
Насправді, повну базу даних SBOM можна було б використовувати подібно до перепису Інтернету Shodan: захисники могли використовувати її, щоб побачити їх уразливість, але зловмисники могли використовувати її, щоб визначити, які програми можуть бути вразливими до певної вразливості, Пеше. говорить.
«Це був би дійсно класний проект, і, чесно кажучи, я думаю, що ми, ймовірно, побачимо щось подібне — чи то компанія, яка створює гігантську базу даних, чи це те, що наказує уряд», — каже він.
Червона команда рано і часто
Коли Пеше згадав розмову з одним із прихильників SBOM, вони стверджували, що його висновки ускладнять боротьбу за те, щоб компанії запровадили SBOM. Проте Пеше стверджує, що ці побоювання не мають суті. Натомість команди з безпеки додатків мають взяти до серця вислів: «Червоне повідомляє синє».
«Якщо ви організація, яка споживає або створює SBOM, знайте, що знайдуться такі люди, як я — або ще гірше — які використовуватимуть SBOM на зло», — каже він. «Тож використовуйте їх на зло самі: залучіть їх як частину вашої загальної програми управління вразливістю; внесіть їх у програму перевірки пера; додайте їх як частину життєвого циклу безпечної розробки — додайте їх як частину всіх ваших внутрішніх програм безпеки».
Хоча розробники програмного забезпечення можуть стверджувати, що SBOM слід надавати лише клієнтам, обмеження SBOM, ймовірно, буде важким завданням. SBOM, ймовірно, стане доступним для громадськості, а широка доступність інструментів для створення SBOM із двійкових файлів і вихідного коду зробить обмеження їх публікації спірним питанням.
«Пропрацювавши в цій індустрії досить довго, ми знаємо, що коли щось приватне, воно з часом стане публічним», — каже він. «Тож завжди знайдеться хтось, хто злиє інформацію [або] хтось витратить гроші на комерційний інструмент, щоб самостійно генерувати SBOM».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/application-security/cyberattack-gold-sboms-census-vulnerable-software
