ระบบอัตโนมัติ คำแนะนำ SBOM

ระบบอัตโนมัติ คำแนะนำ SBOM

หน่วยงานรัฐบาลกลางจะมีเงินประมาณ 1.1 หมื่นล้านดอลลาร์เพื่อใช้จ่ายด้านความปลอดภัยในโลกไซเบอร์ในปีงบประมาณ 2566 แต่พวกเขาจะใช้เงินจำนวนนั้นโดยใช้วิธีการจัดการความเสี่ยงที่คำนึงถึงลำดับความสำคัญและช่วยให้เกิดผลลัพธ์ที่มีประสิทธิภาพสูงสุดหรือไม่นั่นคือคำถามที่สำคัญ Joel Krooswyk หัวหน้าเจ้าหน้าที่เทคโนโลยีภาครัฐของ GitLab กล่าว“มีคำศัพท์มากมายที่ฉันสามารถพูดออกไปได้ที่นี่” Krooswyk กล่าว “ตั้งแต่สถาปัตยกรรมแบบ Zero trust ไปจนถึงการสแกนความปลอดภัยในวงกว้างและการทดสอบ Fuzz มีเพียงคำศัพท์มากมาย”

“แต่” เขากล่าวเสริม “ผมคิดว่าคำถามคือ ผู้คนให้ความสำคัญ

กับการรักษาความปลอดภัยในลำดับความสำคัญหรือไม่? นั่นคือคำถามแรก”

Krooswyk กล่าวว่า ระบบอัตโนมัติช่วยให้ได้รับผลลัพธ์มากขึ้นจากการใช้จ่ายทางไซเบอร์ของรัฐบาล โดยเฉพาะอย่างยิ่ง หน่วยงานควรพิจารณา “ทีมแดง” อัตโนมัติที่มองหาช่องโหว่ตลอดวงจรชีวิตของซอฟต์แวร์ แนวคิดในเชิงบวกคือการ “รักษาความปลอดภัยของสิ่งนี้ก่อนที่มันจะออกไปนอกประตู มาตีกันให้หนัก เรามาตรวจสอบให้แน่ใจว่ามันได้ก้าวไปข้างหน้าอย่างดีที่สุดก่อนที่จะเข้าสู่การผลิต” เขากล่าว

มูลค่าของระบบอัตโนมัติในการตรวจสอบทางไซเบอร์

การใช้เทคโนโลยีการตรวจสอบอัตโนมัติเหล่านี้ในระหว่างขั้นตอนการพัฒนาจะเปลี่ยนการรับประกันทางไซเบอร์ให้เหลืออยู่ในสำนวนปัจจุบัน — ก่อนหน้านี้ในวงจรการพัฒนามากกว่าที่ปกติแล้วจะมีการตรวจสอบทางไซเบอร์

“แต่การรักษาความปลอดภัยแทบจะต้องเปลี่ยนไปทุกที่” โครสวิคกล่าว “จำเป็นต้องได้รับการพิจารณาสูงสุดในทุกขั้นตอนของวงจรการพัฒนา” รวมถึงการตรวจสอบอย่างต่อเนื่องเมื่อมีการปรับใช้ซอฟต์แวร์ เขากล่าวว่าระบบอัตโนมัติของการทดสอบทางไซเบอร์ตลอดวงจรชีวิตซอฟต์แวร์มีความสำคัญอย่างยิ่งในขณะที่หน่วยงานต่างๆ พัฒนาและให้บริการดิจิทัลยุคใหม่ที่พลเมืองเผชิญหน้า

ในปีนับตั้งแต่มีคำสั่งของผู้บริหารในการปรับปรุงความปลอดภัย

ทางไซเบอร์ออกมา Krooswyk กล่าวว่าเขาเห็นหน่วยงานต่างๆ “เรียกเข้า” ต่อหลักการสำคัญทางไซเบอร์ รวมถึงความสำคัญของสถาปัตยกรรมแบบ Zero trust การสแกนวงจรชีวิต และการให้ความสนใจกับแหล่งที่มาของซอฟต์แวร์โอเพ่นซอร์ส ในความเป็นจริง องค์ประกอบทั้งหมดของห่วงโซ่อุปทานด้านไอทีได้รับความสำคัญในสายตาของผู้ปฏิบัติงานด้านไอทีของหน่วยงาน

“เราเห็นว่าการรายงาน การยืนยัน ลายเซ็น — บวกกับการแปลงเป็นดิจิทัล การพิสูจน์ตัวตน และการอนุญาตของสิ่งที่เรากำลังสร้าง — รับรองว่าสิ่งที่เราสร้างขึ้นด้วยห่วงโซ่อุปทานของเราคือสิ่งที่เราควรจะสร้าง” Krooswyk กล่าว .

คำแนะนำทางไซเบอร์เป็นเกราะป้องกัน ทำให้หน่วยงานสามารถปฏิบัติงานได้

นอกจากนี้ สิ่งที่สำคัญอย่างยิ่งต่อระบอบความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงให้ทันสมัยคือคำแนะนำเกี่ยวกับแนวทางการพัฒนาที่ปลอดภัยซึ่งมาจากสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National Institute of Standards and Technology) คำแนะนำของ NIST ช่วยให้เอเจนซี่ก้าวไปไกลกว่าการทดสอบความปลอดภัยแบบคงที่และการทดสอบแบบไดนามิกที่จำกัด

“เรากำลังย้ายเข้าไป หน้าตาของแอปพลิเคชันจะทำงานอย่างไร? ใครสามารถพยายามที่จะได้รับมันแล้ว? ปลอดภัยไหมเมื่อเปิดใช้งาน” โครสวิคกล่าว มีข้อมูลเกี่ยวกับ “การทดสอบแบบคลุมเครือ” เพื่อดูว่าจะเกิดอะไรขึ้นกับแอปพลิเคชันเมื่อฟิลด์มีขยะมากเกินไปและจะปลอดภัยหรือไม่

คำแนะนำดังกล่าวกำลังขยายขอบเขตของไซเบอร์ เขากล่าว “ฉันคิดว่านั่นเป็นหนึ่งในผลกระทบที่ใหญ่ที่สุดของเอกสารนั้น”

ในขณะเดียวกัน EO ทางไซเบอร์ได้ขับเคลื่อนการพัฒนาและการใช้ซอฟต์แวร์ Bill of Material (SBOMs) เพื่อเป็นแนวทางสำหรับหน่วยงานในการรับรองแหล่งที่มาและความปลอดภัยของซอฟต์แวร์ที่พวกเขาได้รับ SBOM ช่วยให้เอเจนซี่เข้าใจสิ่งที่อยู่ในซอฟต์แวร์นอกชั้นวาง Krooswyk กล่าว

SBOMs แจ้งให้ทราบโดยการฉายแสงเกี่ยวกับซอฟต์แวร์ที่มีสาระ

Krooswyk เปรียบเทียบว่า SBOMs คล้ายกับฉลากส่วนผสมอาหาร “มันเหมือนกับการซื้อซอสสปาเก็ตตี้และดูฉลากนั้น” SBOM สามารถเปิดเผยช่องโหว่ที่อาจเกิดขึ้นซึ่ง Krooswyk เรียกว่า “การรวม” ที่หน่วยงานควรทราบ

นอกจากนี้ยังสามารถช่วยให้เจ้าหน้าที่ไอทีเข้าใจความลึกของส่วนประกอบโอเพ่นซอร์สที่ใช้ในซอฟต์แวร์ของหน่วยงานหรือซอฟต์แวร์ที่พัฒนาขึ้นเอง

credit: pescalluneslanparty.com
sfery.org
planesyplanetas.com
vosoriginesyourroots.com
citadelindustry.com
tomklaasen.net
tglsys.net
nezavisniprostor.net
greensys2013.org
northpto.org