Stav bezpečnosti 2022: Chcete-li řešit rizika dodavatelského řetězce, vytvořte SBOM

Útoky na dodavatelský řetězec jsou v roce 2022 jednou z nejnebezpečnějších bezpečnostních hrozeb a v současné době také jednou z nejčastěji diskutovaných. O čem však lidé z oblasti zabezpečení dostatečně nemluví, je jeden z nejlepších nástrojů pro zvládání budoucích útoků.

GETTY

Ještě před dvěma lety bych byl šokován, že někdo v takové míře mluví o útocích na dodavatelský řetězec softwaru, protože je to takové esoterické, krkolomné téma, o kterém rád přemýšlím. Ale pak jsme tu měli SolarWinds na konci roku 2020 a Log4Shell, Kaseya a další loni.

A organizace věnují rizikům v dodavatelském řetězci velkou pozornost a zdroje. Podle nového výzkumu ve zprávě The State of Security 2022 společnosti Splunk jich drtivých 97 % přijalo v reakci na to opatření. Bezpečnostní týmy se více zaměřují na hodnocení rizik třetích stran (90 %) a ředitelé CISO pravidelně poskytují informace na toto téma vedení a správní radě (61 %).

Skvělé kroky. Nejsou však tím, co pomůže, když se do softwarového produktu, na který vaše společnost spoléhá, nabourá hacker. Aby bylo možné rychle a efektivně čelit hrozbám, když se objeví, uvidíme, že organizace začnou při nákupu softwaru vyžadovat SBOM neboli softwarový kusovník. SBOM obsahuje seznam prvků v rámci softwarového balíčku a umožňuje zjistit, zda je vaše organizace v případě útoku na dodavatelský řetězec zranitelná. Podobně jako je u zpracovaných potravin uveden seznam složek, obsahuje SBOM seznam součástí nějakého softwarového balíčku. (Chci vždy vědět, co je v mém nezdravém jídle, než ho sním? Asi ne, ale raději byste měli vědět, co je v softwarovém balíčku, než ho nainstalujete).

Každá organizace je buď spotřebitelem, nebo dodavatelem softwaru – nebo obojí, což je případ většiny velkých organizací. Když došlo ke zranitelnosti Log4Shell, měli jsme zákazníci společnosti Splunk obavy, zda není touto zranitelností ohrožen software společnosti Splunk. (Naštěstí tomu tak nebylo.) Společnost Splunk je však také spotřebitelem softwaru, takže jsme museli také zjistit, který z našich dodavatelů softwaru byl zranitelností zasažen.

To vše jde rychleji díky SBOM

Softwarové produkty se často skládají z mnoha projektů s otevřeným zdrojovým kódem. Takže pokud by se objevil nějaký útok nebo zranitelnost, přišlo by za organizací mnoho zákazníků, kteří by se snažili zjistit, které komponenty mohou software nainstalovat. Organizace by musela dohledat každou komponentu, která se v produktu nachází, a pak kontaktovat toho jednoho člověka v Norsku, který je shodou okolností jediným správcem daného open source projektu na světě. Pokud se však s touto jedinou osobou z jakéhokoli důvodu nemůžete spojit, máte smůlu. Identifikace komponent a určení, zda byla každá z nich ohrožena zranitelností, může trvat několik dní, ne-li déle – zatímco hodiny stále tikají a vaši zákazníci musí čekat.

Mít SBOM tedy skutečně pomáhá vaší vlastní organizaci a pomáhá také vašim zákazníkům. Nyní to popisuji jako velmi praktickou věc, ale očekávám, že se SBOM brzy stane standardní praxí, protože ji bude vyžadovat každý zákazník.

Další informace o výzvách, kterým budou čelit vedoucí pracovníci v oblasti zabezpečení v roce 2022, a o strategiích, které v reakci na ně přijímají, získáte v knize The State of Security 2022 ještě dnes.

Zdroj: Forbes