Claroty 网络战略副总裁 Josh Corman认为,医疗保健行业在网络安全透明度方面面临最大的挑战之一,就是来自设备供应商。 Corman将该国最大的卫生系统之一Sutter Health对Log4j的响应,与金融部门的响应进行了比较——
一家不愿透露姓名的金融实体能够在 Log4j事件发生后,通过SBOM,快速定位到旗下软件的受影响范围,以及具体漏洞位置,并在四天内修复了 4,000 个受影响应用程序中的 80%。
而另一方面,在事件发生的480天后,作为全国最大卫生系统之一的Sutter Health,却仍未从55%的医疗设备和设备供应商那里,收到可用于修复缺陷的数据。
该卫生系统甚至无法确定Log4j被那些关键软件引用了,具体的引用位置也不清晰。医院因此有了“不透明的软件供应链”,在Log4j被披露的一年多后,关键的救生设备仍然存在极大的网络安全隐患。
SBOM的价值由此凸显。
但近年来,SBOM重要性逐渐普及的同时,也出现了许多抵制SBOM的声音。
反对将SBOM列入产品交付审查文件中的人认为,对SBOM的要求增加了软件制造商的交付成本,也将造成制造商们部分知识产权的暴露;甚至,SBOM中对组件依赖关系、安全程度的清晰展示,如若SBOM数据遭受泄露,将给攻击者提供了便于定位到软件脆弱点的“攻击地图”。
4 月 26 日,Claroty 网络战略副总裁 Josh Corman 在 RSA 大会上表示:对所有设备的软件物料清单 (SBOM) 的抵制都是错误的,抵制SBOM才是对设备安全最大的伤害。
Corman也提到:“SBOM的概念始于 40 年代,一开始并不是为了网络安全,而是为了商业价值、质量和效率。所以,SBOMs不是新生的、舶来品的、可怕的。为什么你们还会如此害怕它呢?“
正如 Corman所说的,如果反对者说的是对的,那么类似CVE、MITRE Att&ck,甚至是逆向工程工具,我们也不必使用了。因为同理,也会有反对者认为他们在为攻击者提供便利。
而该不该生成和使用SBOM?我认为,我们更应该看更大的组织或国家层面的战略。例如,FDA最近围绕医疗设备制造商提出的网络安全要求中,已明确了医械注册需提交SBOM文件。这就是关于SBOM是否有必要最好的答案。
01/ SBOM的价值
1、将SBOM数据转化为“安全情报”,可助企业更高效应对安全攻击
SBOM数据与其他软件数据进行关联,在安全问题来临时,可快速还原软件内部的层级与依赖关系,圈定漏洞影响范围,帮助企业快速定位问题,采取措施来降低风险。
同时,通过SBOM还可以降低合规层面的风险——例如:从SBOM中获得的许可信息可以帮助企业确认,在使用开源和第三方许可软件时是否遵守许可要求。
SBOM数据还可为企业提供软件组件最新状态的洞察,以降低因为引用的第三方组件长期未更新,带来的供应链安全风险。
2、高质量的SBOM,助力企业提升软件供应链安全的可控性
SBOM提高了软件内部组成成分信息与安全态势的可见性。软件内部成分信息的高可见性,对于软件供应链风险管理和整体企业风险管理至关重要。供应商提供给软件需方的SBOM 信息,为需方的风险管理提供了决策依据,同时也不会影响软件供应商的敏感知识产权利益。
如果供应商无法提供其软件的SBOM信息,那么需方应该对供应商提供的软件产品安全性保持怀疑,谨慎考虑与该供应商的合作。
当前未暴露出安全问题的软件产品并不代表着永远安全,因此需方在采购时,让供应商进行全方面安全检测,以及提供SBOM信息,对其自身软件产品进行安全合规性声明及保证,才能更好地提升软件供应链安全的可控性。
02/ SBOM生成指引
0操作成本,安全专家一站式生成SBOM文件
网安云软件物料清单服务:www.wanyun.cn/Support?share=24315_ea8a0e47-b38d-4cd6-8ed1-9e7711a8ad5e
1、安全需求咨询与服务方案制定
对客户实际应用场景与需求进行深入调研,根据需求制定服务方案,包含协定服务流程与产出交付物形态(例如文件格式、规范、需要符合何种法规等)。
2、第三方组件安全检测
自研第三方组件安全工具与安全专家分析相结合,产出软件第三方组件安全检测结果,根据需求可生成专业化检测报告。
3、软件物料清单(SBOM)相关文件生成
导出国际三大物料清单格式,也可支持其他更多字段,满足美国NIST发布的指南Framing Software Component Transparency: Establishing a Common Software Bill of Materials (SBOM)的要求,导出文件机器可读。