Đưa SBOM vào Chuỗi Cung Ứng Phần Mềm của Bạn

Năm 2021, Hóa đơn vật liệu phần mềm — và từ viết tắt rộng rãi SBOM — đã gia nhập danh sách các từ khóa an ninh sau khi Tổng thống Joe Biden ký một sắc lệnh hành pháp vào tháng 5, đưa SBOM trở thành yêu cầu đối với các nhà thầu liên bang. Điều này là bước tiến thêm các nhà thầu liên bang vào danh sách dài các ngành công nghiệp đã đối mặt với câu đố SBOM, bao gồm các nhà sản xuất thiết bị y tế, nhà phát triển số và ngành công nghiệp ô tô. SBOMs là một biện pháp mà các chuyên gia an ninh đã tìm kiếm từ lâu trong nhiều ngành công nghiệp để cải thiện an ninh phần mềm, đặc biệt là sau những cuộc tấn công mạng nổi tiếng, ngày càng nhắm vào chuỗi cung ứng.

Nếu chúng ta nghĩ về những gì cần thiết để bảo vệ chuỗi cung ứng, nó bắt đầu từ việc biết ai là nhà cung cấp của bạn, xác định và quản lý các rủi ro mà những nhà cung cấp đó có thể mang lại cho sản phẩm và dịch vụ của bạn — một lĩnh vực thường được biết đến là Quản lý Rủi ro Bên Thứ Ba (TPRM). Nhiều chương trình TPRM thường yêu cầu các nhà cung cấp số của họ tuân theo các thực hành phát triển an toàn (Secure DevOps), nhưng nếu thiếu một SBOM để xác định tất cả các thành phần trong giải pháp số, sẽ xuất hiện các khoảng trống về an ninh trong chuỗi cung ứng của bạn.

“Để hiểu rõ rủi ro mạng có mặt trong các sản phẩm phần mềm trong toàn bộ chuỗi cung ứng, một tổ chức cần có khả năng nhìn thấy các thành phần tạo nên sản phẩm phần mềm,” nói Russell Jones, đối tác của Deloitte & Touche LLP, Phòng Thực hành Rủi ro Cyber và Chiến lược của Hoa Kỳ. “Nếu xảy ra một cuộc tấn công malware hoặc ransomware trong một thiết bị Internet of Things (IoT) hoặc sản phẩm commercial off the shelf (COTS), các công ty sẽ phải điều tra một mạng phức tạp các nhà cung cấp phần mềm và xác định các lỗ hổng trong một loạt các thành phần phần mềm mã nguồn mở và bên thứ ba. SBOMs giống như danh sách ‘nguyên liệu’ có thể giúp các chuyên gia an ninh (và kẻ thù cũng vậy) nhận diện dễ dàng hơn các thành phần có thể bị ảnh hưởng/lỗ hổng.”

Đối với đội ngũ IT và an ninh, nó đặc biệt hữu ích khi cung cấp cái nhìn sâu sắc về an ninh của các ứng dụng phần mềm mà họ đang chạy trong tổ chức của họ — hoặc phần mềm đang làm chạy các thiết bị mà người dùng phải dựa vào mỗi ngày. Và đối với khách hàng/người dùng cuối, SBOM là chìa khóa để đảm bảo rằng những sản phẩm mà chúng ta phải dựa vào mỗi ngày đều có mỗi mảnh mã số của chúng được xác định và an toàn. SBOM không ngăn chặn các lỗ hổng chưa được phát hiện, nhưng nó có thể được tích hợp vào quy trình quản lý lỗ hổng của tổ chức để xác định những yếu điểm mà có thể không được phát hiện bằng các công cụ quét lỗ hổng truyền thống. Tổ chức mua sắm có thể sử dụng SBOM để thực hiện phân tích lỗ hổng hoặc giấy phép, cả hai đều có thể được sử dụng để đánh giá rủi ro trong một sản phẩm trước khi mua. Để ưu tiên những rủi ro mạng quan trọng nhất trên bề mặt tấn công, các thành phần của bề mặt tấn công phải được biết đến — và SBOMs là một vũ khí bổ sung trong kho vũ khí an ninh mạng để cung cấp tầm nhìn đó. 

“Thị trường phát triển với sự minh bạch, và chuỗi cung ứng an toàn là một phần quan trọng trong môi trường hệ sinh thái số mà hầu hết các tổ chức đang hoạt động trong thời đại hiện nay. Sự minh bạch xây dựng niềm tin giữa mỗi người chơi trong chuỗi cung ứng và tạo ra giá trị.” nói Deborah Golden, lãnh đạo Rủi ro Cyber & Chiến lược của Deloitte & Touche LLP tại Hoa Kỳ. “Hãy xem xét SBOM như một đòn bẩy cho sự tin tưởng, khuyến khích các nhà phát triển và tạo người phần mềm cung cấp một SBOM đầy đủ và biến một chuỗi lỗ hổng trước đây mịt mờ thành một nguồn giá trị, đưa ra sự ưa thích và phân biệt.”

Gặp Gỡ SBOM Hiện Đại

SBOM đã chiếm lĩnh một vị thế trong một thời gian dài trong các ngành công nghiệp sử dụng các thiết bị kết nối IoT. Trong ngành y tế, ví dụ, sự kết nối của các thiết bị và hệ thống y tế cải thiện chăm sóc bệnh nhân. Tuy nhiên, sự kết nối cũng mở rộng phạm vi phơi nhiễm của các lỗ hổng trên các mạng và chuỗi cung ứng y tế. Một lỗ hổng trong một thành phần của bên thứ ba ở phía trước có thể gây ra tác động sâu rộng xuống bệnh nhân về sức khỏe, quyền riêng tư và an toàn. 

Ở t forefront của sự đẩy mạnh để tích hợp SBOMs, các cơ quan qu regul, nhà sản xuất thiết bị y tế và bệnh viện đã hợp tác để phát triển các thử nghiệm chứng minh khái niệm (POC) và kiểm tra chuẩn hóa định dạng và nội dung của SBOM. Những thử nghiệm chứng minh khái niệm này đã mang lại kết quả hữu ích, như những thách thức với các tên tiêu chuẩn cho các phần con SBOM giống nhau (ví dụ, một tệp DLL) từ các nguồn thông tin tình báo đe dọa khác nhau (ví dụ, Cơ sở dữ liệu Rủi ro Quốc gia so với một công cụ quét lỗ hổng thương mại) và những trường hợp sử dụng SBOM nào là thực tế nhất đối với các đội an ninh mạng của các nhà cung ứng dịch vụ y tế. Những kinh nghiệm từ các thử nghiệm POC đang giúp nhà sản xuất thiết bị y tế cung cấp SBOMs với các thiết bị của họ mà có ích cho các nỗ lực của đội an ninh và kỹ thuật lâm sàng của tổ chức y tế để quản lý rủi ro mạng trong các thiết bị y tế đã triển khai. 

“Những nhà sản xuất thiết bị y tế phát triển SBOM đã tập trung vào việc tạo SBOM có thể đọc được bằng máy mà chứa thông tin an ninh mạng hữu ích có thể được tận dụng bởi đội IT và an ninh bệnh viện trong quy trình quản lý lỗ hổng và phản ứng sự cố của họ,” nói Veronica Lim, một nguyên tắc với Deloitte & Touche LLP, Phòng Thực hành Rủi ro Cyber và Chiến lược của Hoa Kỳ. “SBOMs cũng có thể giúp nhà sản xuất thiết bị giảm thiểu rủi ro chuỗi cung ứng và cung cấp hỗ trợ tốt hơn, nhanh chóng cho mạng và các nhà cung ứng dịch vụ y tế.” 

SBOMs có tiềm năng hưởng lợi cho các bên liên quan đến chuỗi cung ứng của các công nghệ y tế mà không tăng chi phí sản xuất phần mềm đáng kể. Việc tăng cường minh bạch mở khóa và cho phép các công nghệ y tế đáng tin cậy, mạnh mẽ và an toàn hơn cho mọi người.

Xây Dựng SBOM 

SBOM có một số phức tạp do tính lặp lại của phần mềm — thay vì một phần vật lý sống trong một chiếc xe ô tô mòn theo thời gian, cập nhật phần mềm kích hoạt cập nhật SBOM. Tuy nhiên, ở cơ bản, các nguyên tắc giống như một BOM chế tạo hoặc ví dụ về nguyên liệu của Jones. Để đạt được điều này, quan trọng là phải có một ngôn ngữ chung và tiêu chuẩn cho phép nhiều “nguyên liệu” được hiểu là giống nhau dù người nào sản xuất nguyên liệu (ví dụ, gluten lúa được hiểu là gluten lúa bất kể ai sản xuất nó).

Một SBOM chuẩn sẽ bao gồm tên các thành phần, thông tin về giấy phép, số phiên bản, tác giả của SBOM và nhà sản xuất của các thành phần trong SBOM. Vì hầu hết phần mềm được lắp ráp hôm nay đều được tạo thành từ phần mềm nguồn mở hoặc mã nguồn thứ ba, SBOMs nên cung cấp tầm nhìn trên toàn bộ chuỗi cung ứng cho bất kỳ người xây dựng phần mềm, mua phần mềm hoặc vận hành phần mềm nào.

Tương lai của SBOMs nằm trong việc áp dụng và quy định tiếp tục. Để SBOMs trở nên phổ biến, phải có sự chuẩn hóa định dạng SBOM (ví dụ, SPDX, SWID) và nhiều yêu cầu hơn từ người tiêu dùng thương mại, điều này đã bắt đầu được thấy trong các lĩnh vực như chăm sóc sức khỏe và cơ sở hạ tầng quan trọng, theo lời Sharon Chand, lãnh đạo Rủi ro Cyber & Chiến lược chuỗi cung ứng an ninh tại Deloitte & Touche LLP.

“Hướng dẫn và tiêu chuẩn quốc tế về SBOMs là cần thiết để đạt được hiệu suất cần thiết để triển khai an ninh và bắt kịp với tốc độ của các mối đe dọa,” Chand nói.

Bằng cách tập trung một danh sách các thành phần và phiên bản vào một nơi, SBOMs có thể tiết kiệm một lượng lớn thời gian mà thông thường phải tìm kiếm lỗ hổng bằng cách thủ công. Và việc so sánh phần mềm với các nguồn, như Cơ sở dữ liệu Rủi ro Quốc gia và tích hợp phân tích vào hệ thống quản lý lỗ hổng tổ chức, trở nên dễ dàng hơn. Tự động hóa có thể giữ chi phí thấp. Bắt đầu một SBOM cho bất kỳ phần mềm nào có thể bắt đầu trả lời những câu hỏi quan trọng về nguồn gốc của chuỗi cung ứng phần mềm.

“Sự tiến triển của các mạng chuỗi cung ứng được định hình bởi công nghệ và các tổ chức có kích thước khác nhau đang nhận ra rằng bất kỳ chuỗi cung ứng phần mềm nào cũng chỉ mạnh mẽ như liên kết yếu nhất. Được trang bị SBOM có thể đọc được bằng máy và các công cụ tích hợp tự động, chuỗi cung ứng có thể bắt đầu tích hợp niềm tin và minh bạch vào các thực hành an ninh, tạo ra lợi nhuận đáng giá,” Deborah Golden nói. “SBOM khiêm tốn tạo ra một mức độ chịu trách nhiệm trên tất cả các nhà cung cấp về an ninh của sản phẩm phần mềm và cung cấp một cái nhìn toàn diện về rủi ro có thể tăng cường quyền lực cho khách hàng.”