El valor de la lista de materiales del software (SBOM)

Si ha pensado un momento en la seguridad de la cadena de suministro durante el año pasado, probablemente esté familiarizado con el término "Lista de materiales de software", abreviado como SBOM. En su forma más simple, un SBOM se puede comparar con la lista de ingredientes de un software; sin embargo, en términos reales, es mucho más sofisticado.

En las empresas actuales impulsadas digitalmente, con una gran dependencia de revendedores de software, herramientas de código abierto y aplicaciones de marca blanca, no se puede subestimar el valor de tener una lista de materiales de software.

Definición de SBOM: ¿Qué es una lista de materiales de software (SBOM)?

Una lista de materiales de software es una lista de los componentes fundamentales (como recursos de código) utilizados para crear un producto. Ofrece información legible por máquina y detalles que describen las conexiones entre los distintos elementos de software de su cadena de suministro.

Básicamente, los SBOM tienen que ver con la integridad de los “materiales” digitales con los que uno trabaja, centrándose en la confianza y la seguridad. Pueden identificar los componentes que componen una pieza de software, dónde se originaron estos archivos, cómo se crearon y si fueron firmados de forma segura por personas confiables.

Los SBOM son una herramienta que los desarrolladores y consumidores de software pueden utilizar para fomentar la confianza y la credibilidad en el ciclo de vida de desarrollo y distribución de software.

Gartner estima que para 2025, el 60% de las organizaciones que desarrollan o adquieren software para infraestructura crítica se verán obligadas a utilizar SBOM, un fuerte aumento desde menos del 20% en 2022. Examinemos por qué y cuál es exactamente el valor de una factura de software. materiales.

SBOM y seguridad cibernética: por qué es fundamental mantener la lista de materiales del software

Tanto en el sector público como en el privado, los ciberataques son ahora demasiado comunes. En la segunda mitad de 2022, el número de intrusiones contra sectores gubernamentales aumentó un 95% en comparación con el mismo período de 2021.

Se prevé que el impacto económico mundial de los ciberataques aumentará drásticamente de 8,44 billones de dólares en 2022 a 23,84 billones de dólares en 2027.

Es por eso que las empresas, los grupos de defensa de la seguridad cibernética e incluso los gobiernos están impulsando la SBOM como una parte importante de la infraestructura digital, y no como algo agradable de tener.

De hecho, la Orden Ejecutiva de EE. UU. (EO) 14028 de mayo de 2021, titulada “Mejora de la ciberseguridad de la nación”, exige el uso de SBOM para reforzar la seguridad de las bases de datos federales de EE. UU. Hace que la lista de materiales del software sea obligatoria para cualquier proveedor de software que trabaje con una agencia gubernamental.

En última instancia, si las empresas no saben qué hay dentro de su software, no pueden comprender ni evaluar completamente el riesgo que conlleva para la empresa o los posibles clientes intermedios.

Casos de uso de SBOM

Además de brindarle visibilidad del software de terceros, lo que facilita la lucha contra los ataques a la cadena de suministro, la lista de materiales del software ayuda a:

1. Fortalecer las relaciones proveedor-comprador

   Tanto los desarrolladores de software como sus usuarios deben tener fe en el software con el que trabajan. Los metadatos contenidos en un SBOM pueden ser utilizados por personas para verificar la integridad del software y reconocer rápidamente componentes defectuosos o vulnerables que podrían afectar sus sistemas y procesos.

   De manera similar, los SBOM pueden resaltar las medidas de seguridad que los desarrolladores de software deben tomar para crear software seguro y de última generación.

2. Realizar análisis de vulnerabilidad más completos

   Las empresas pueden inspeccionar los componentes de SBOM en busca de vulnerabilidades. Si existe un problema, también tendrán en cuenta qué dependencias rectificar. Una vulnerabilidad es un defecto que puede ser explotado por actores maliciosos que buscan dañar el software o dañar el sistema en el que opera.

   Los SBOM pueden garantizar que el software en uso se actualice periódicamente y en su avatar más actual. De lo contrario, puede realizar un análisis de riesgos sólo en los componentes obsoletos en lugar de desperdiciar recursos en una revisión del software en su totalidad.

3. Ofreciendo software de mejor calidad

   Como dice el viejo refrán: "Di lo que haces, haz lo que dices". De manera similar, el acto de crear y evaluar un SBOM generalmente ayuda a los desarrolladores a determinar si la compilación del software se encuentra realmente en su estado más óptimo.

   ¿Es consistente y repetible? ¿El SBOM generado refleja lo que los ingenieros creen que está contenido en el software? ¿O existe un abismo? La mayoría de los generadores de SBOM descubren al menos algunos elementos sobre el software que el proveedor desconocía, lo que les permite mejorar la calidad del software y publicar solo las mejores compilaciones.

4. Mejorar la toma de decisiones para las adquisiciones

   El uso de SBOM ofrecidos por proveedores de software externos permite a los gerentes de adquisiciones tomar decisiones de compra de software más informadas. Con una lista de materiales de software, los especialistas en adquisiciones de TI pueden profundizar en el software para descubrir cómo funciona antes de comprarlo.

   

   En caso de que el SBOM no esté disponible antes de la compra, puede aprovechar este caso de uso dentro de un período razonable después de la compra (antes de que se establezca el bloqueo del proveedor) y cambiar de proveedor si es necesario.

5. Creación de sistemas empresariales interoperables

   Los arquitectos empresariales están a cargo de construir el marco tecnológico de una empresa. Al igual que con un arquitecto de edificios, es mucho más sencillo armar una pila de tecnología si comprendes cada uno de los elementos de los recursos disponibles. Esto es especialmente cierto en el caso de fusiones y adquisiciones, donde los arquitectos no tienen una visibilidad completa de la procedencia, las capacidades y las limitaciones del software.

6. Reforzar la respuesta a incidentes de seguridad

   Los SBOM pueden servir como validación de los hallazgos y recomendaciones de eventos, un indicador direccional de lo que salió mal. Como evidencia de respaldo, el SBOM ayuda en la investigación del incidente y la evaluación de su efecto en sistemas concurrentes o versiones anteriores del sistema.

   Durante y después de un incidente, los SBOM también pueden facilitar las interacciones entre colaboradores, grupos afectados y clientes.

   Validar que los contenidos enumerados por un SBOM eran bastante precisos en el momento de la difusión y que no existían vulnerabilidades identificadas o no resueltas es una aplicación adicional de los SBOM en la gestión de respuesta a incidentes.

   Esto puede reducir el riesgo legal y las responsabilidades de las empresas que han enfrentado una violación de datos o un incidente de igual gravedad.

Consideraciones empresariales para el uso de SBOM: cómo maximizar su valor

Es responsabilidad del proveedor ensamblar, formatear y proporcionar una lista completa de materiales de software para su uso. Sin embargo, obtener el SBOM no es suficiente; las empresas necesitan una estrategia de gobernanza para encaminar los SBOM a los casos de uso más valiosos.

1. Sepa a qué proveedores enviar una solicitud SBOM

   Dado que los recursos generalmente vienen con un límite fijo de uso, debe comenzar con un análisis de impacto comercial para determinar sus proveedores de servicios más esenciales y sus soluciones de software comerciales listas para usar o COTS.

   Para algunas empresas con estándares de seguridad estrictos, todos los proveedores que tengan algún tipo de efecto en los datos de la organización deberán enviar un SBOM. Para otras partes, tal vez sólo un subconjunto de proveedores de servicios clave deba ser parte de este proceso.

   También es esencial considerar el nivel de experiencia de sus proveedores. Un proveedor corporativo establecido estará más preparado para ofrecerle lo que necesita en comparación con una startup con problemas.

2. Decida la cadencia de las actualizaciones de SBOM y utilice la automatización

   También es importante considerar la regularidad con la que debe enviar los SBOM. En determinadas industrias, los clientes pueden requerir actualizaciones cada vez que se actualiza el software.

   Esto puede ocurrir de forma continua (cada hora o diariamente) para las plataformas SaaS, pero este nivel de frecuencia sobrecargaría a los proveedores con tareas de recopilación y entrega de datos SBOM. Normalmente, es preferible solicitar a SBOM “vistazos o instantáneas” de los productos en intervalos programados (diariamente, con cada nueva versión, etc.).

   Verifique si su contrato incluye un Acuerdo de nivel de servicio (SLA) oficial para la entrega de SBOM.

3. Establecer un flujo de trabajo de control de versiones y intercambio de SBOM

   Un buzón lleno de archivos JSON y XML es una forma ineficaz de gestionar datos. Como mínimo, las organizaciones requieren un método estructurado para monitorear y supervisar la versión de cada SBOM.

   Idealmente, necesita un sistema que pueda ingerir, decodificar y evaluar la información contenida. Los datos de SBOM pueden ser ingeridos por plataformas como Anchore y Mend.io para enviar alertas automáticas y realizar análisis de seguridad automatizados, entre otras funciones.

Próximos pasos

Para fortalecer aún más los protocolos de seguridad de su organización, conecte los SBOM con herramientas de administración de vulnerabilidades. Por ejemplo, los escáneres de aplicaciones o contenedores pueden utilizar datos SBOM para buscar vulnerabilidades y riesgos reconocidos.

A medida que aumenta la frecuencia de los ciberataques, la seguridad de la cadena de suministro es ahora una consideración esencial para todas las empresas. La lista de materiales de software (SBOM) es una herramienta muy beneficiosa que ayuda a las organizaciones a identificar y monitorear los componentes de software. También mantiene a los usuarios plenamente informados sobre posibles problemas de seguridad o eficiencia.

A continuación, desarrolle su estrategia SBOM con los últimos conocimientos de Splunk sobre Seguridad más allá del cumplimiento . Si disfrutó leyendo este artículo, compártalo en las redes sociales haciendo clic en el botón de Facebook, Twitter o LinkedIn en la parte superior.