Hükümet ve güvenliğe duyarlı şirketler, yazılım üreticilerinin kendilerine yazılım malzeme listesi (SBOM) sağlamalarını giderek daha fazla talep ediyor; ancak saldırganların elinde, bir uygulamayı oluşturan bileşenlerin listesi, koddan yararlanmaya yönelik bir plan sağlayabilir.
Yazılım tedarik zincirinde ürün güvenliği araştırması ve analizi direktörü Larry Pesce, hedeflenen şirketin hangi yazılımı çalıştırdığını belirleyen bir saldırganın, ilgili SBOM’u alabileceğini ve uygulamanın bileşenlerini zayıf noktalar açısından analiz edebileceğini, üstelik tek bir paket bile göndermeden bunu yapabileceğini söylüyor. güvenlik firması Finite State.
Günümüzde saldırganların, savunmasız kodu bulmak için genellikle teknik analiz yapması, kaynak kodunda tersine mühendislik yapması ve açıkta kalan bir yazılım uygulamasında bilinen belirli güvenlik açığı bulunan bileşenlerin mevcut olup olmadığına bakması gerekecek. 20 yıllık eski bir penetrasyon test uzmanı olan Pesce, eğer hedeflenen şirket kamuya açık SBOM’lara sahipse, o zaman bu bilgilerin çoğu zaten mevcut demektir, diyor.
“Kötü SBOM’lar” konulu sunum Mayıs ayındaki RSA Konferansında.
“Bir rakip olarak, bu işlerin çoğunu önceden yapmak zorunda kalıyorsunuz, ancak şirketlerin SBOM’ları halka açık olarak veya müşterilere sunması gerekiyorsa ve bu… diğer veri havuzlarına sızıyorsa, bunu yapmanıza gerek yok. herhangi bir iş yaparsanız, o zaten sizin için yapılmıştır” diyor. “Yani bu bir nevi -ama tam olarak değil- Kolay düğmesine basmaya benziyor.”
SBOM’lar hızla çoğalıyor; şirketlerin yarısından fazlası şu anda herhangi bir uygulamanın bir bileşen listesiyle birlikte sunulmasını talep ediyor —
gelecek yıl %60’a ulaşacak bir rakamGartner’a göre. SBOM’ları standart bir uygulama haline getirme çabaları, şeffaflık ve görünürlüğü yazılım endüstrisine yardımcı olacak ilk adımlar olarak görüyor
ürünlerini daha iyi güvence altına almak. Konsept, enerji devi Southern Company’nin bir projeye başladığı kritik altyapı sektörüne bile sıçradı.
Tüm donanım, yazılım ve ürün yazılımı için bir malzeme listesi oluşturun Mississippi’deki trafo merkezlerinden birinde.
SBOM’ları Kötü Siber Saldırı Amaçları İçin Kullanmak
Pesce, bir uygulamadaki yazılım bileşenlerinin ayrıntılı bir listesini oluşturmanın rahatsız edici sonuçlar doğurabileceğini savunuyor. Sunumunda SBOM’ların saldırganların saldırılarına izin verecek yeterli bilgiye sahip olduğunu gösterecek.
SBOM’lardan oluşan bir veritabanında belirli CVE’leri arayın ve muhtemelen savunmasız olan bir uygulamayı bulun. Saldırganlar için daha da iyisi, SBOM’ların saldırganın uzlaşma sonrasında “karadan geçinmek” için kullanabileceği cihazdaki diğer bileşenleri ve yardımcı programları da listeleyeceğini söylüyor.
“Bir cihazın güvenliğini ihlal ettiğimde… bir SBOM bana cihaz üreticisinin o cihazda ne bıraktığını söyleyebilir ve bunları diğer ağları araştırmaya başlamak için potansiyel olarak araç olarak kullanabilirim” diyor.
SBOM veri alanları için minimum temel, tedarikçiyi, bileşen adını ve sürümünü, bağımlılık ilişkilerini ve bilgilerin en son ne zaman güncellendiğine ilişkin zaman damgasını içerir.
ABD Ticaret Bakanlığı kurallarına göre.
Aslında, kapsamlı bir SBOM veritabanı, Shodan’ın İnternet sayımına benzer bir şekilde kullanılabilir: Savunmacılar bunu, maruz kaldıkları riskleri görmek için kullanabilir, ancak saldırganlar, hangi uygulamaların belirli bir güvenlik açığına karşı savunmasız olabileceğini belirlemek için bunu kullanabilir, Pesce diyor.
“Bu gerçekten harika bir proje olurdu ve açıkçası, büyük bir veritabanına sahip bir şirket olsun ya da hükümetin zorunlu kıldığı bir şey olsun, muhtemelen buna benzer bir şeye gideceğimizi düşünüyorum” diyor.
Kırmızı Takım Erken ve Sıklıkla
Pesce bir SBOM savunucusuyla yaptığı konuşmadan bahsettiğinde, onun vardığı sonuçların şirketlerin SBOM’ları benimsemesini sağlama mücadelesini daha da zorlaştıracağını savundu. Ancak Pesce, bu endişelerin asıl noktayı gözden kaçırdığını savunuyor. Bunun yerine, uygulama güvenliği ekipleri “Kırmızı Maviyi bilgilendirir” özdeyişini dikkate almalıdır.
“SBOM’ları tüketen veya üreten bir kuruluşsanız, benim gibi veya daha kötüsü, SBOM’ları kötülük için kullanacak insanların olacağını bilin” diyor. “Öyleyse onları kötülük için kullanın: Onları genel güvenlik açığı yönetimi programınızın bir parçası olarak getirin; onları kalem testi programınızın bir parçası olarak getirin; onları güvenli geliştirme yaşam döngünüzün bir parçası olarak getirin; onları tüm güvenlik açığı yönetim programınızın bir parçası olarak getirin. dahili güvenlik programlarınız.”
Yazılım üreticileri SBOM’ların yalnızca müşterilerle paylaşılması gerektiğini savunabilirken, SBOM’ları sınırlamak muhtemelen Herkül’ün zor bir görevi olacaktır. SBOM’lar muhtemelen halka sızacak ve ikili dosyalardan ve kaynak kodundan SBOM’lar oluşturmaya yönelik araçların yaygın olarak bulunması, yayınlarının sınırlandırılmasını tartışmalı bir konu haline getirecek.
“Bu sektörde yeterince uzun süre kaldıktan sonra, bir şeyin özel olduğunda eninde sonunda halka açık hale geleceğini biliyoruz” diyor. “Yani her zaman bilgiyi sızdıran birileri olacak [or] birisi kendi başına SBOM’lar oluşturmak için ticari bir araca para harcayacaktır.”