Los SBOM no tienen sentido a menos que formen parte de una estrategia más amplia que identifique riesgos y vulnerabilidades en todo el sistema de gestión de la cadena de suministro de software.

RIEGELSVILLE, Pensilvania (PRWEB) Marzo 13, 2023

La cantidad de ataques cibernéticos perpetrados contra sectores gubernamentales en todo el mundo aumentó en un 95 % en la segunda mitad de 2022 en comparación con el mismo período de 2021.(1) Se espera que el costo global de los ataques cibernéticos crezca exponencialmente de $8.44 billones en 2022 a $23.84 billones para 2027.(2) Para apoyar la infraestructura crítica de la nación y las redes del Gobierno Federal, la Casa Blanca emitió la Orden Ejecutiva 14028, "Mejorando la Ciberseguridad de la Nación" en mayo de 2021.(3) La EO define las medidas de seguridad que debe seguir cualquier software editor o desarrollador que hace negocios con el Gobierno Federal. Una de estas medidas requiere que todos los desarrolladores de software proporcionen una lista de materiales de software (SBOM), una lista de inventario completa de componentes y bibliotecas que componen una aplicación de software. Walt Szablowski, Fundador y Presidente Ejecutivo de eracente, que ha brindado una visibilidad completa de las redes de sus grandes clientes empresariales durante más de dos décadas, observa: "Los SBOM no tienen sentido a menos que formen parte de una estrategia más amplia que identifique riesgos y vulnerabilidades en todo el sistema de gestión de la cadena de suministro de software".

La Administración Nacional de Telecomunicaciones e Información (NTIA) define una Lista de materiales de software como “una lista completa y formalmente estructurada de componentes, bibliotecas y módulos que se requieren para construir una determinada pieza de software y las relaciones de la cadena de suministro entre ellos”. 4) EE. UU. es especialmente vulnerable a los ataques cibernéticos porque gran parte de su infraestructura está controlada por empresas privadas que pueden no estar equipadas con el nivel de seguridad necesario para frustrar un ataque.(5) El beneficio clave de los SBOM es que permiten a las organizaciones identificar si alguno de los componentes que componen una aplicación de software puede tener una vulnerabilidad que pueda crear un riesgo de seguridad.

Si bien las agencias del gobierno de EE. UU. tendrán el mandato de adoptar SBOM, las empresas comerciales claramente se beneficiarían de este nivel adicional de seguridad. A partir de 2022, el costo promedio de una filtración de datos en EE. UU. es de $9.44 millones, con un promedio mundial de $4.35 millones.(6) Según un informe de la Oficina de Responsabilidad Gubernamental (GAO), el gobierno federal ejecuta tres sistemas tecnológicos heredados que datan de cinco décadas. La GAO advirtió que estos sistemas obsoletos aumentan las vulnerabilidades de seguridad y con frecuencia se ejecutan en hardware y software que ya no es compatible.(7)

Szablowski explica: “Hay dos aspectos clave que toda organización deberá abordar al usar SBOM. Primero, deben tener una herramienta que pueda leer rápidamente todos los detalles en un SBOM, hacer coincidir los resultados con los datos de vulnerabilidad conocidos y proporcionar informes de aviso. En segundo lugar, deben poder establecer un proceso proactivo y automatizado para mantenerse al tanto de la actividad relacionada con SBOM y todas las opciones y procesos de mitigación únicos para cada componente o aplicación de software”.

El módulo de gestión de riesgos de la cadena de suministro cibernético (C-SCRM) de la Plataforma de Ciberseguridad Inteligente (ICSP)™ de Eracent es único en el sentido de que es compatible con estos dos aspectos para proporcionar un nivel crítico adicional de protección para minimizar los riesgos de seguridad basados ​​en el software. Esto es esencial cuando se inicia un programa SBOM proactivo y automatizado. El ICSP C-SCRM ofrece protección integral con visibilidad instantánea para mitigar cualquier vulnerabilidad a nivel de componente. Reconoce componentes obsoletos que también pueden aumentar el riesgo de seguridad. El proceso lee automáticamente los detalles detallados dentro del SBOM y hace coincidir cada componente enumerado con los datos de vulnerabilidad más actualizados utilizando la biblioteca de datos de productos de TI IT-Pedia® de Eracent, una fuente única y autorizada de datos esenciales relacionados con millones de hardware de TI y productos de software."

La gran mayoría de las aplicaciones comerciales y personalizadas contienen código de fuente abierta. Las herramientas estándar de análisis de vulnerabilidades no examinan los componentes individuales de código abierto dentro de las aplicaciones. Sin embargo, cualquiera de estos componentes puede contener vulnerabilidades o componentes obsoletos, lo que aumenta la susceptibilidad del software a las infracciones de ciberseguridad. Szablowski señala: “La mayoría de las herramientas le permiten crear o analizar SBOM, pero no están adoptando un enfoque de gestión consolidado y proactivo: estructura, automatización e informes. Las empresas deben comprender los riesgos que pueden existir en el software que utilizan, ya sea de código abierto o propietario. Y los editores de software deben comprender los riesgos potenciales inherentes a los productos que ofrecen. Las organizaciones necesitan fortalecer su ciberseguridad con el nivel mejorado de protección que ofrece el sistema ICSP C-SCRM de Eracent”.

Acerca de Eracent

Walt Szablowski es el fundador y presidente ejecutivo de Eracent y se desempeña como presidente de las subsidiarias de Eracent (Eracent SP ZOO, Varsovia, Polonia; Eracent Private LTD en Bangalore, India; y Eracent Brasil). Eracent ayuda a sus clientes a enfrentar los desafíos de administrar los activos de red de TI, las licencias de software y la ciberseguridad en los entornos de TI complejos y en evolución de la actualidad. Los clientes empresariales de Eracent ahorran significativamente en su gasto anual de software, reducen sus riesgos de auditoría y seguridad y establecen procesos de gestión de activos más eficientes. La base de clientes de Eracent incluye algunas de las redes corporativas y gubernamentales y entornos de TI más grandes del mundo (USPS, VISA, la Fuerza Aérea de EE. UU., el Ministerio de Defensa británico) y docenas de empresas Fortune 500 confían en las soluciones de Eracent para administrar y proteger sus redes. Visita https://eracent.com/. 

Referencias:
1) Venkat, A. (2023 de enero de 4). Los ataques cibernéticos contra los gobiernos aumentaron un 95 % en la última mitad de 2022, dice Cloudsek. OSC en línea. Consultado el 23 de febrero de 2023 en csoonline.com/article/3684668/cyberattacks-against-governments-jumped-95-in-last-half-of-2022-cloudsek say.html#:~:text=The%20number%20of %20ataques%20objetivos,AI%2Dbased%20cybersecurity%20company%20CloudSek
2) Fleck, A., Richter, F. (2022 de diciembre de 2). Infografía: Se espera que el cibercrimen se dispare en los próximos años. Infografía de Statista. Recuperado el 23 de febrero de 2023, de statista.com/chart/28878/expected-cost-of-cybercrime-until-2027/#:~:text=According%20to%20estimates%20from%20Statista's,to%20%2423.84%20trillion %20por%202027
3) Orden ejecutiva sobre el mejoramiento de la ciberseguridad de la nación. Agencia de Ciberseguridad y Seguridad de las Infraestructuras CISA. (Dakota del Norte). Recuperado el 23 de febrero de 2023, de cisa.gov/executive-order-improving-nations-cybersecurity
4) La Fundación Linux. (2022, 13 de septiembre). ¿Qué es un SBOM? Fundación Linux. Recuperado el 23 de febrero de 2023, de linuxfoundation.org/blog/blog/what-is-an-sbom
5) Christofaro, B. (nd). Los ataques cibernéticos son la última frontera de la guerra y pueden golpear más fuerte que un desastre natural. Esta es la razón por la que EE. UU. podría tener dificultades para hacer frente si recibe un golpe. Business Insider. Recuperado el 23 de febrero de 2023, de businessinsider.com/cyber-attack-us-struggle-taken-offline-power-grid-2019-4
6) Publicado por Ani Petrosyan, 4, S. (2022, 4 de septiembre). Coste de una filtración de datos en EE. UU. 2022. Statista. Recuperado el 23 de febrero de 2023, de statista.com/statistics/273575/us-average-cost-incurred-by-a-data-breach/
7) Malone, K. (2021 de abril de 30). El gobierno federal está ejecutando tecnología de 50 años, sin actualizaciones planificadas. Buceo del CIO. Recuperado el 23 de febrero de 2023, de ciodive.com/news/GAO-federal-legacy-tech-security-red-hat/599375/

Compartir artículo sobre medios sociales o correo electrónico: