Mit der zunehmenden Komplexität heutiger Cyberangriffe sind moderne Softwareanwendungen immer komplexer geworden und auf Komponenten von Drittanbietern angewiesen.
Selten werden Softwareanwendungen von Grund auf neu erstellt. Stattdessen werden sie aus Dutzenden – wenn nicht Hunderten – zusammengesetzt Open-Source-Software Bibliotheken, Module von Drittanbietern und kommerzielle Komponenten.
CISSP, Gründungspartner bei CIOSO Global.
Die Software Bill of Materials (SBOM) hat sich zu einer Notwendigkeit für moderne Unternehmen entwickelt Cybersicherheit. Dennoch werden SBOMs oft als optional angesehen oder ganz vernachlässigt.
Für CISOs und Technologieführer ist die Undurchsichtigkeit der Software-Lieferkette zu einem blinden Fleck geworden. Es ist nicht ratsam, Anwendungen zu implementieren, ohne zu wissen, was sie enthalten.
Eine umfassende SBOM ist keine Best Practice mehr; Es handelt sich um eine Grundvoraussetzung. Und das muss kontinuierlich sein – keine einmalige Momentaufnahme.
Das Dilemma des CISO: Bekanntes Risiko, unsichtbare Abhängigkeiten
Jedes in eine Anwendung eingeführte Element birgt das Risiko, potenzielle Schwachstellen in der Umgebung aufzudecken. Das Problem liegt in der eingeschränkten Transparenz darüber, was tatsächlich in der eingesetzten Software enthalten ist.
Die berüchtigte Log4Shell-Schwachstelle (CVE-2021-44228) im Jahr 2021 war eine kritische Zero-Day-Schwachstelle. Es betraf Apache Log4j, eine weit verbreitete Protokollierungsbibliothek, die in viele Unternehmensanwendungen eingebettet war.
Die Sicherheitslücke ermöglichte es Angreifern, aus der Ferne beliebigen Code auf betroffenen Systemen auszuführen. Der Grund dafür war eine fehlerhafte Eingabevalidierung in der JNDI-Suchfunktion (Java Naming and Directory Interface) von Log4j.
Nachdem es entdeckt wurde, verbrachten Organisationen Wochen und in einigen Fällen sogar Monate damit, herauszufinden, wo und wie sie aufgedeckt worden waren. In bestimmten Situationen verlangte die SEC von börsennotierten Unternehmen, innerhalb kurzer Zeit über die Auswirkungen zu berichten. Mit anderen Worten: Es musste schnell eine SBOM erstellt werden.
Für die größten Unternehmen war dies eine nahezu unmögliche Aufgabe! Die Schwierigkeit hätte vermieden werden können, wenn sie über ein SBOM zur Bereitstellung dieser Informationen verfügt hätten, das es Unternehmen ermöglicht hätte, die Gefährdung innerhalb von Stunden statt Wochen zu erkennen und zu mindern.
Was ist eine SBOM und warum ist sie wichtig?
Eine SBOM ist eine umfassende Liste aller Komponenten, einschließlich Bibliotheken, Frameworks und Modulen, die in einer Softwareanwendung enthalten sind und im „Stack“ der Software enthalten sind, die zum Betrieb der Anwendung erforderlich ist. Dies kann Folgendes umfassen: BetriebssystemeGerätetreiber, Firmware usw. Es ist das digitale Äquivalent einer Nährwertkennzeichnung für Code.
Wenn es richtig gemacht wird, bietet ein SBOM den Sicherheitsteams Folgendes:
– Vollständige Transparenz in direkten und transitiven (eingebetteten) Abhängigkeiten.
– Die Fähigkeit, die Gefährdung durch bekannte Schwachstellen schnell einzuschätzen.
– Eine Grundlage für kontinuierliche Risikoüberwachung und Compliance.
Kurz gesagt: Es bietet uns das gleiche Maß an Transparenz in unserer Softwarehierarchie, das wir auf unseren Endpunkten, Servern und virtuellen Maschinen durch Asset-Management-Tools und EDR/MDRs genießen.
Die unglückliche Situation besteht heute jedoch darin, dass Softwareanbieter entweder unvollständige SBOMs bereitstellen oder diese überhaupt nicht anbieten. Ein weiteres Problem besteht darin, dass internen Entwicklungsteams möglicherweise nicht die nötigen Tools oder Disziplin zur Erstellung und Wartung zur Verfügung stehen.
Das Argument für dauerhafte Sichtbarkeit
Eine SBOM muss als lebendiges Dokument behandelt werden, das bei jeder Codeänderung, jeder neuen Version oder jedem Patch aktualisiert wird. Bedrohungsakteure warten nicht bequem auf Ihren nächsten vierteljährlichen Überprüfungszyklus, um eine „unsichtbare“ Schwachstelle auszunutzen. Sobald ein neues CVE veröffentlicht wird, ist es an der Zeit zu handeln.
Der SolarWinds-Angriff im Jahr 2020 ist ein klassisches Beispiel für die komplexen Softwareketten von heute. Hacker haben die Build-Umgebung eines vertrauenswürdigen Softwareanbieters ausgenutzt und Schadcode in ein Routine-Update eingeschleust.
Sogar Organisationen, die sich konsequent an Best Practices für das Patchen hielten, wurden Opfer, als diese Hintertür in ihre Netzwerke geöffnet wurde. Wenn SolarWinds über die SBOM-Disziplin verfügt hätte, hätte die Gefährdung früher erkannt werden können.
Best Practices für die SBOM-Einführung
Für Unternehmen, die eine belastbare Software-Lieferkette aufbauen möchten, finden Sie hier wichtige Empfehlungen:
Fordern Sie SBOMs von allen Anbietern an: Fordern Sie umfassende, maschinenlesbare SBOMs als Teil Ihres Beschaffungs- und Lieferantenrisikobewertungsprozesses.
Beauftragen Sie SBOMs von allen internen Entwicklungsteams: Fordern Sie umfassende, maschinenlesbare SBOMs als Teil Ihrer Softwarearchitektur-, Design- und Entwicklungsteams. Kennen Sie Ihre gesamte Pipeline von oben bis unten, von innen und außen.
IT-Betriebsteams sollten durch den Einsatz moderner Observability-Tools wie Dynatrace eine ständige Transparenz gewährleisten.
Integrieren Sie SBOM-Tools in Ihren Entwicklungslebenszyklus: Nutzen Sie automatisierte Tools wie Snyk, Endor Labs oder Scribe Security, um SBOMs während der Erstellungszeit zu generieren und Änderungen im Laufe der Zeit zu verfolgen.
Richten Sie eine Governance für die SBOM-Wartung ein: Schreiben Sie klare Richtlinien, um den Besitz zu definieren, den Aktualisierungsrhythmus zu aktualisieren und sie in Workflows für das Schwachstellenmanagement zu integrieren. Sorgen Sie für ein sichtbares, konsistentes und gut geführtes Ausnahmemanagementprogramm.
Es kommt häufig vor, dass mit den oben genannten Tools Schwachstellen in Softwarekomponenten entdeckt werden, deren Behebung schwierig, kostspielig oder umständlich ist.
In diesen Fällen entscheiden wir uns möglicherweise dafür, das Vorhandensein der Schwachstelle zu „tolerieren“, dies sollte jedoch durch den Ausnahme-Governance-Prozess verwaltet werden und, wenn möglich, eine Reihe kompensierender Kontrollen aufrechterhalten.
Verwenden Sie SBOMs für proaktives Schwachstellenscannen: Vergleichen Sie Ihr SBOM-Inventar mit Datenbanken wie der National Vulnerability Database (NVD), um Echtzeit-Risikoeinblicke zu erhalten. Tun Sie dies genauso kontinuierlich wie für Ihre Endpunkte (in Echtzeit, jederzeit).
Trainieren Sie Ihre Teams: Stellen Sie sicher, dass Entwickler, DevOpsund Sicherheitsteams wissen, wie man SBOMs effektiv liest, verwendet und verwaltet. Am wichtigsten ist, dass wir unseren Entwicklungsteams die gleiche Disziplin vermitteln, die wir mittlerweile auch bei unserem Endpoint-Schwachstellenmanagement anwenden.
Kennen Sie Ihre Umgebung: Es ist nicht länger akzeptabel, diese Sicherheitslücken zu ignorieren. Um diese Lücken zu schließen, stehen Tools und Informationen zur Verfügung. Es erfordert ein unermüdliches Engagement Ihrer Softwareentwicklungsleiter.
Sichtbarkeit ist nicht verhandelbar
Das Ausführen von Software ohne SBOM ist wie eine offene Einladung an Bedrohungsakteure. Ohne ein SBOM wissen Sie nicht, was Sie ausführen, und solange Sie dies tun, besteht die Gefahr, dass Sie zum nächsten Bedrohungsakteur an der Einfallstür in Ihre Systeme oder die Systeme Ihrer Kunden werden. Die Kosten der Untätigkeit sind möglicherweise nicht nur finanzieller Natur, sondern können auch rufschädigende und regulatorische Folgen haben.
Sie haben wahrscheinlich gehört, dass Cybersicherheit nur so stark ist wie ihr schwächstes Glied. Und wenn es sich bei dieser Verbindung um eine Abhängigkeit handelt, die mehrere Schichten tief vergraben ist, benötigen Sie eine SBOM, um sich darüber im Klaren zu sein. Cybersicherheitsprobleme können angegangen werden. Die Rahmenbedingungen sind vorhanden. Was oft fehlt, ist kulturelles Engagement, Richtlinienentwicklung, Ausnahmemanagement und Durchsetzung.
CISOs und Softwareentwicklungsleiter müssen die Initiative ergreifen. Umfassende SBOMs sind eine Notwendigkeit; Ein Verteidigungsinstrument, auf das keine Organisation verzichten kann.
Jetzt ist es an der Zeit, sie in Ihre Risikorahmen, Entwicklungspipelines und Lieferantenverträge einzubetten. Je länger Sie warten, desto länger sind Sie vermeidbaren Bedrohungen ausgesetzt.
Wir bieten die beste Patch-Management-Software.
Dieser Artikel wurde im Rahmen des Expert Insights-Kanals von TechRadarPro erstellt, in dem wir die besten und klügsten Köpfe der heutigen Technologiebranche vorstellen. Die hier geäußerten Ansichten sind die des Autors und nicht unbedingt die von TechRadarPro oder Future plc. Wenn Sie daran interessiert sind, einen Beitrag zu leisten, erfahren Sie hier mehr: https://www.techradar.com/news/submit-your-story-to-techradar-pro
