Publicado:
17 de enero de 2023
Tiempo de descubrir:
recital de 3 minutos
Escrito por:
Equipo más rápido
Este artículo está basado en Perspectivas de seguridad, una serie de podcasts de video donde el presentador Gunnar Peterson, CISO de Forter, acento sobre tecnología y seguridad de pagos con expertos de la industria.
En este episodio, el CISO de Forter, Gunnar Peterson, conversa con Wendy Nather, quien lidera el equipo de CISO asesor en Cisco. Nather fue anteriormente CISO en los sectores sabido y privado, dirigió la praxis de seguridad de la información en la firma de analistas 451 Research y fue director de investigación en Retail ISAC. Es miembro principal de la Cyber Statecraft Initiative del Atlantic Council, así como del Strauss Center for International Security and Law de la Universidad de Texas en Austin. Juntos responden:
- ¿Qué es una registro de materiales de software (SBOM)?
- Por qué los SBOM se han vuelto más populares
- Por qué las empresas querrían uno
- Casos de uso para SBOM
¿Qué son los SBOM?
En un nivel nuclear, un SBOM es una registro de los componentes que conforman su software, incluida su pulvínulo de código y dependencias. Los SBOM consisten en enumerar y explicar todo lo que implica construir una cuchitril de software. Puede aplicar un SBOM a cualquier software: inodoro, financiero, prevención del fraudeadquisiciones, etc
Por qué los SBOM se han vuelto más populares
La creciente popularidad de los SBOM se debe en gran parte a la hojas perennes suministro de incidentes y vulnerabilidades en la industria. Adicionalmente, el incremento de software ha cambiado con el tiempo. “El concepto de SBOM surgió en un buen momento, donde el contenido del software es más variable que nunca porque gran parte de él ahora se ensambla en área de escribirse. Y ensamblado a partir de una amplia variedad de componentes y fuentes”, dijo Nather.
Muchas empresas además se han donado cuenta de que han estado haciendo un baldosín de su software. “No puedes simplemente ir a tu área de ingeniería y proponer, ‘¿qué hay aquí?’ — porque nadie lo sabe”, dijo Nather. “Esa es la otra razón por la que creo que los SBOM se han vuelto tan importantes en este momento”.
Por qué las empresas querrían uno
Nather explica que la visibilidad es “la parte superior de la registro” para los CISO cuando se les pregunta qué buscan obtener de un SBOM. “¿Por qué quieres un SBOM? ¿Que vas a hacer con eso? Efectivamente necesitan visibilidad”, dijo Nather.
Pero lo que es más importante, es lo que planean hacer con esa información, una vez adquirida, lo que debe enfocarse. “¿Qué vas a hacer con esa información una vez que la tengas?”, siempre pregunta Nather. Y aunque la mayoría de las empresas hoy en día no tienen una buena respuesta para eso, está cambiando continuamente a medida que más empresas descubren usos beneficiosos para los SBOM.
Casos de uso para SBOM
Wendy fue coautora de un papel blanco para el Atlantic Council que destaca cuatro casos de uso para SBOM:
- Fabricación
- Diligencia de vulnerabilidades e inteligencia de amenazas
- Respuesta al incidente
- Mapeo de ecosistemas
Durante la conversación, Nather además proporcionó anécdotas para SBOM relacionadas con adquisiciones y mapeo de ecosistemas.
Evite comprar licencias de software duplicadas
“Una empresa del tamaño de Cisco puede terminar comprando instancias duplicadas de software”, señala Nather. Las grandes empresas como CISCO pueden usar SBOM para acechar qué tienen con respecto al software y tomar medidas para evitar comprar licencias de software duplicadas. Todavía pueden usar SBOM para comprobar de no incorporar licencias de software incorrectas.
Reduzca los riesgos del software de código destapado
Los SBOM además pueden ayudar a las empresas a mitigar los riesgos cuando utilizan software de código destapado. Por ejemplo, puede descubrir que un desarrollador que contribuyó con un módulo a una biblioteca de software de código destapado además participa en proyectos de grupos de malware. “Observar una computadora, una horizonte centrada en el desarrollador y usar SBOM para informar que: quién está contribuyendo a su software puede ser tan importante como dónde obtuvo esto o qué contiene”, agregó Nather.
Agregue SBOM a su caja de herramientas de dirección de riesgos
Los SBOM son solo una pequeña parte de una logística eficaz de dirección de riesgos de software. Necesita varias herramientas para proteger sus sistemas de software y encargar los riesgos en el comercio digital.
¿Quiere ilustrarse aún más sobre los SBOM? Puede ver este episodio de Security Insights en su totalidad en YouTube.
