Государственные и чувствительные к безопасности компании все чаще требуют от производителей программного обеспечения предоставления им спецификаций программного обеспечения (SBOM), но в руках злоумышленников список компонентов, составляющих приложение, может стать основой для взлома кода.
Злоумышленник, который определяет, какое программное обеспечение использует целевая компания, может получить соответствующий SBOM и проанализировать компоненты приложения на наличие слабых мест, не отправляя ни единого пакета, говорит Ларри Песке, директор по исследованиям и анализу безопасности продуктов в цепочке поставок программного обеспечения. охранная фирма Finite State.
Сегодня злоумышленникам часто приходится проводить технический анализ, перепроектировать исходный код и проверять, существуют ли конкретные известные уязвимые компоненты в открытом программном приложении, чтобы найти уязвимый код. Тем не менее, если целевая компания поддерживает общедоступные SBOM, то большая часть этой информации уже доступна, говорит Пеше, бывший пентестер с 20-летним стажем, который планирует предупредить о риске в
презентация на тему «Злые СБОМы» на конференции ЮАР в мае.
«Как противнику, вам придется проделать большую часть этой работы заранее, но если компании обязаны предоставлять SBOM публично или клиентам, и это… просачивается в другие репозитории, вам не нужно ничего делать. работа, она уже сделана за тебя», — говорит он. «Так что это что-то вроде — но не совсем — нажатия кнопки Easy».
SBOM быстро распространяются: более половины компаний в настоящее время требуют, чтобы любое приложение сопровождалось списком компонентов. цифра, которая достигнет 60% к следующему году, по данным Gartner. Усилия по превращению SBOM в стандартную практику рассматривают прозрачность и прозрачность как первые шаги, которые помогут индустрии программного обеспечения. лучше защищать свою продукцию. Эта концепция распространилась даже на сектор критической инфраструктуры, где энергетический гигант Southern Company приступил к осуществлению проекта по
создать спецификацию для всего оборудования, программного обеспечения и прошивки на одной из своих подстанций в Миссисипи.
Использование SBOM для злых целей кибератак
По мнению Пеше, создание подробного списка программных компонентов в приложении может иметь оскорбительные последствия. В своей презентации он покажет, что SBOM имеют достаточно информации, чтобы позволить злоумышленникам поиск конкретных CVE в базе данных SBOM и найдите приложение, которое, вероятно, уязвимо. Еще лучше для злоумышленников то, что SBOM также будет перечислять другие компоненты и утилиты на устройстве, которые злоумышленник может использовать для «жизни за счет земли» после компрометации, говорит он.
«Как только я скомпрометировал устройство… SBOM может сказать мне, что производитель устройства оставил на этом устройстве, что я потенциально мог бы использовать в качестве инструментов для начала исследования других сетей», — говорит он.
Минимальный базовый уровень для полей данных SBOM включает поставщика, имя и версию компонента, отношения зависимостей и временную метку последнего обновления информации.
в соответствии с рекомендациями Министерства торговли США.
Фактически, обширная база данных SBOM может использоваться аналогично переписи Интернета Shodan: защитники могут использовать ее, чтобы увидеть свои уязвимости, а злоумышленники могут использовать ее, чтобы определить, какие приложения могут быть уязвимы для конкретной уязвимости, Пеше говорит.
«Это был бы действительно крутой проект, и, честно говоря, я думаю, что мы, вероятно, увидим что-то подобное — будь то компания, создающая гигантскую базу данных, или что-то, что санкционировано правительством», — говорит он.
Красная команда рано и часто
Когда Пеше упомянул об этой беседе с одним из сторонников SBOM, они заявили, что его выводы усложнят борьбу за то, чтобы компании приняли SBOM. Тем не менее, Пеше утверждает, что эти опасения упускают из виду суть. Вместо этого командам по безопасности приложений следует принять близко к сердцу пословицу: «Красный информирует синий».
«Если вы представляете организацию, которая потребляет или производит SBOM, знайте, что найдутся люди вроде меня — или того хуже — которые будут использовать SBOM во зло», — говорит он. «Так что используйте их во зло сами: включите их в свою общую программу управления уязвимостями; включите их в свою программу проверки пера; включите их в свой жизненный цикл безопасной разработки — включите их во все свои программы внутренней безопасности».
Хотя производители программного обеспечения могут утверждать, что SBOM следует предоставлять только клиентам, ограничение SBOM, вероятно, будет непростой задачей. SBOM, скорее всего, станут достоянием общественности, а широкая доступность инструментов для создания SBOM из двоичных файлов и исходного кода сделает ограничение их публикации спорным вопросом.
«Проработав в этой отрасли достаточно долго, мы знаем, что когда что-то является частным, в конечном итоге оно становится публичным», — говорит он. «Поэтому всегда будет кто-то, кто сливает информацию, [или] кто-то потратит деньги на коммерческий инструмент, чтобы самостоятельно создавать SBOM».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/application-security/cyberattack-gold-sboms-census-vulnerable-software
- :имеет
- :является
- :нет
- :куда
- $UP
- 20
- 20 лет
- a
- О нас
- доступной
- в сопровождении
- По
- принять
- состязательный
- адвокат
- После
- Все
- позволять
- уже
- причислены
- всегда
- an
- анализ
- анализировать
- и
- любой
- Применение
- Приложения
- МЫ
- спорить
- продемонстрировав тем самым
- Утверждает
- AS
- связанный
- At
- нападающий
- Нападавшие
- свободных мест
- доступен
- Базовая линия
- BE
- становиться
- было
- за
- не являетесь
- Лучшая
- Билл
- Синии
- план
- приносить
- но
- кнопка
- by
- CAN
- Перепись
- код
- Commerce
- коммерческая
- Компании
- Компания
- компонент
- компоненты
- комплексный
- Ослабленный
- сама концепция
- Обеспокоенность
- Выводы
- Конференция
- потребление
- Холодные
- может
- критической
- Критическая инфраструктура
- В настоящее время
- Клиенты
- Кибератака
- данным
- База данных
- Защитники
- Кафедра
- Зависимость
- подробный
- Определять
- определяет
- Развитие
- устройство
- трудный
- директор
- do
- приносит
- Дон
- сделанный
- Рано
- легко
- усилия
- или
- приступили к
- энергетика
- инженер
- достаточно
- Эфир (ETH)
- Даже
- со временем
- точно,
- существовать
- эксплуатации
- подвергаться
- Экспозиция
- факт
- Поля
- Найдите
- конечный
- Фирма
- Во-первых,
- первые шаги
- Что касается
- Бывший
- от
- Gartner
- порождать
- порождающий
- получить
- гигант
- Go
- будет
- Золото
- Правительство
- Половина
- Руки
- Аппаратные средства
- Есть
- имеющий
- he
- Сердце
- помощь
- его
- Честно
- HTTPS
- i
- if
- последствия
- in
- включают
- все больше и больше
- промышленность
- информация
- Сообщает
- Инфраструктура
- вместо
- в нашей внутренней среде,
- Интернет
- в
- IT
- ЕГО
- JPG
- Вид
- Знать
- Земля
- Фамилия
- утечка
- Утечки
- оставил
- Жизненный цикл
- такое как
- Вероятно
- ограничивающий
- Список
- жизнью
- Длинное
- посмотреть
- серия
- поддерживает
- сделать
- Makers
- Создание
- управление
- мандаты
- способ
- ПРОИЗВОДИТЕЛЬ
- материалы
- Май..
- me
- упомянутый
- может быть
- минимальный
- скучать
- Миссисипи
- деньги
- БОЛЕЕ
- имя
- сетей
- следующий
- номер
- of
- от
- наступление
- предлагают
- .
- on
- консолидировать
- ONE
- только
- or
- заказ
- организация
- Другое
- внешний
- общий
- собственный
- часть
- особый
- ручка
- проникновение
- Люди
- Планы
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Точка
- потенциально
- практика
- presentation
- прессование
- частная
- вероятно
- Продукт
- FitPartner™
- Программы
- Проект
- обеспечивать
- что такое варган?
- Публикация
- публично
- целей
- быстро
- RE
- достигать
- на самом деле
- Red
- Отношения
- обязательный
- исследованиям
- обратный
- Снижение
- RSA
- рсаконференция
- Бег
- s
- говорит
- СБОМ
- сектор
- безопасный
- безопасность
- посмотреть
- отправка
- общие
- должен
- показывать
- аналогичный
- одинарной
- So
- Software
- программные компоненты
- Кто-то
- удалось
- Источник
- исходный код
- южный
- конкретный
- тратить
- распространение
- стандарт
- Начало
- Область
- Шаги
- Бороться
- поставщик
- T
- взять
- Говорить
- целевое
- Сложность задачи
- команда
- команды
- Технический
- Технический анализ
- сказать
- тестXNUMX
- чем
- который
- Ассоциация
- информация
- их
- Их
- тогда
- Там.
- они
- Think
- этой
- те
- отметка времени
- в
- инструментом
- инструменты
- Прозрачность
- обновление
- us
- использование
- используемый
- через
- коммунальные услуги
- Ve
- версия
- видимость
- уязвимость
- Уязвимый
- законопроект
- we
- слабые
- Что
- когда
- будь то
- КТО
- широко распространена
- будете
- без
- Работа
- хуже
- бы
- лет
- еще
- являетесь
- ВАШЕ
- себя
- зефирнет