政府和对安全敏感的公司越来越多地要求软件制造商向他们提供软件物料清单 (SBOM),但在攻击者手中,组成应用程序的组件列表可能会提供利用代码的蓝图。
软件供应链产品安全研究和分析总监 Larry Pesce 表示,确定目标公司正在运行什么软件的攻击者可以检索相关的 SBOM,并分析应用程序组件的弱点,所有这些都无需发送单个数据包。安全公司有限状态。
如今,攻击者通常必须进行技术分析、对源代码进行逆向工程,并查看暴露的软件应用程序中是否存在特定的已知易受攻击的组件,以便找到易受攻击的代码。然而,如果目标公司维护可公开访问的 SBOM,那么很多信息就已经是可用的,Pesce 说,他是一名拥有 20 年经验的前渗透测试员,他计划对
关于“邪恶的SBOM”的演讲 5 月份的 RSA 会议上。
“作为对手,你必须预先做很多工作,但如果公司被要求提供 SBOM,无论是公开的还是向客户提供的,并且......泄漏到其他存储库中,你不需要做任何事情工作,它已经为你完成了,”他说。 “所以这有点像——但不完全是——按下“简单”按钮。”
SBOM 正在迅速激增,目前超过一半的公司要求任何应用程序都附有组件列表 — 到明年这个数字将达到60%据 Gartner 称。使 SBOM 成为标准实践的努力将透明度和可见性视为帮助软件行业的第一步 更好地保护他们的产品。这一概念甚至蔓延到了关键的基础设施领域,能源巨头南方公司启动了一个项目
为所有硬件、软件和固件创建物料清单 在密西西比州的一个变电站。
使用 SBOM 进行邪恶的网络攻击
Pesce 认为,在应用程序中生成详细的软件组件列表可能会产生令人反感的影响。在他的演讲中,他将展示 SBOM 有足够的信息让攻击者能够 在 SBOM 数据库中搜索特定 CVE 并找到可能存在漏洞的应用程序。他说,对攻击者来说更好的是,SBOM 还将列出设备上的其他组件和实用程序,攻击者可以在攻击后使用这些组件和实用程序“靠地生活”。
“一旦我破坏了某个设备……SBOM 可以告诉我设备制造商在该设备上留下了什么,我可以将其用作开始探测其他网络的工具,”他说。
SBOM 数据字段的最小基线包括供应商、组件名称和版本、依赖关系以及上次更新信息的时间戳,
根据美国商务部的指导方针.
事实上,SBOM 的综合数据库可以以类似于互联网 Shodan 普查的方式使用:防御者可以使用它来查看其暴露情况,但攻击者可以使用它来确定哪些应用程序可能容易受到特定漏洞的攻击,Pesce说。
“这将是一个非常酷的项目,老实说,我认为我们可能会看到类似的东西 - 无论是一家拥有庞大数据库的公司还是政府强制要求的东西,”他说。
红队尽早且经常
当 Pesce 向一位 SBOM 倡导者提到这次谈话时,他们认为他的结论将使让公司采用 SBOM 的努力变得更加困难。然而,佩斯认为这些担忧没有抓住要点。相反,应用程序安全团队应该牢记“红色通知蓝色”这句格言。
“如果您是一个消耗或生成 SBOM 的组织,请知道会有像我这样的人 — 或者更糟 — 会利用 SBOM 来作恶,”他说。 “因此,您自己可以利用它们来作恶:将它们作为整个漏洞管理计划的一部分;将它们作为渗透测试计划的一部分;将它们作为您的安全开发生命周期的一部分 - 将它们作为您所有内部安全计划的一部分。”
虽然软件制造商可能会辩称 SBOM 只应与客户共享,但限制 SBOM 可能是一项艰巨的任务。 SBOM 可能会泄露给公众,并且从二进制文件和源代码生成 SBOM 的工具的广泛使用将使限制其发布变得毫无意义。
“在这个行业工作了足够长的时间后,我们知道,当某件事是私有的时,它最终会公开,”他说。 “因此总会有人泄露信息,[或者]有人会花钱购买商业工具来自行生成 SBOM。”
