رسم مستقبل SBOM: رؤى من دليل CISA الجديد: تغيير ميزان مخاطر الأمن السيبراني

في أبريل 2023، أصدرت CISA دليلًا مشتركًا جديدًا لأمن البرامج يسمى تغيير ميزان مخاطر الأمن السيبراني: مبادئ الأمن حسب التصميم والمبادئ الافتراضية. تم إعداد الدليل بالتعاون مع 9 وكالات مختلفة بما في ذلك وكالة الأمن القومي، ومركز الأمن السيبراني الأسترالي (ACSC)، والمكتب الفيدرالي الألماني لأمن المعلومات (BSI)، من بين وكالات أخرى. إن حقيقة تعاون وكالات متعددة من جميع أنحاء العالم في إعداد دليل الأمن السيبراني يجب أن تكون شهادة قوية على الأهمية التي يحملها موضوع الأمن السيبراني في جميع أنحاء العالم في هذا الوقت. 

شاركت جين إيسترلي، مديرة CISA أفكارها حول موضوع الأمن السيبراني في خطاب ألقته مؤخرًا للطلاب وأعضاء هيئة التدريس في جامعة كارنيجي ميلون في بيتسبرغ. وفقًا لمدير CISA، يجب أن تساعد هذه المبادئ التوجيهية في رعاية صناعة البرمجيات العالمية في السنوات القادمة:

1. لا ينبغي أن يقع عبء السلامة على عاتق العميل وحده. يجب أن يتحمل مصنعو البرامج المسؤولية عن منتجاتهم وأكوادهم.
2. ويتعين على شركات تصنيع التكنولوجيا أن تتبنى الشفافية الجذرية كالتزام بالمساءلة عن منتجاتها. 
3. وينبغي لمصنعي التكنولوجيا أن يركزوا على بناء منتجات آمنة، وتطوير منتجات آمنة من حيث التصميم وآمنة افتراضيا.

يأخذ دليل CISA هذه المبادئ الأساسية ويتوسع فيها، بما في ذلك قائمة شاملة من الاقتراحات العملية التي يمكن لمصنعي البرامج اتخاذها لتقديم منتجات أكثر أمانًا إلى السوق.

ومن المثير للاهتمام أن نلاحظ أن الكثير من الاقتراحات الصريحة تعتمد على ذلك إطار SSDF الخاص بـ NIST ولكن تمت صياغتها بطريقة أكثر عملية وأقل طوعية.

أحد الاقتراحات الواردة في الدليل، والتي تتعلق بشكل مباشر بالشفافية الجذرية، هو أن يقوم مصنعو البرامج بتضمين إنتاج سبوم في SDLC الخاصة بهم لتوفير رؤية لمكونات برامجهم.

ولكن هل إنشاء SBOM وحتى نشره كافٍ حقًا؟ ما الذي يمكن لمنتج البرنامج أو مستهلك البرنامج فعله بالفعل باستخدام ملف SBOM JSON أو XML؟

في هذه المقالة، سننظر في الاستخدامات التي يمكن أن يقدمها SBOM إلى منتج البرامج اليوم، والمعلومات التي يمكن إضافتها إلى SBOM لإثرائها، وذكاء الأعمال الذي يمكن اكتسابه من فحص مثل هذه المستندات الغنية. سنلقي نظرة سريعة على جانب الامتثال لاستخدام SBOM وأين تقع مسؤوليتك كمنتج برامج، أو مجمع برامج، أو مشرف مفتوح المصدر. سنختتم بالحديث عن إدارة المخاطر وكيف تتناغم مبادئ CISA للأمن حسب التصميم والآمن افتراضيًا مع الامتثال التنظيمي للأمن السيبراني وإدارة المخاطر المستنيرة. 

لم يتم إنشاء جميع SBOMs على قدم المساواة

هناك العديد من الأدوات المتاحة اليوم لإنشاء SBOMs، بدءًا من الحلول مفتوحة المصدر وحتى حلول الملكية، ويمكن لأي شخص أو شركة ترغب في تضمين إنشاء SBOM في إجراءات التشغيل المعيارية (SOP) الخاصة بها أن تفعل ذلك بسهولة. يمكن للمرء أن يختار بين مختلف المعايير الأكثر ملاءمة لاحتياجاتهم، ولكن حتى ذلك الحين قد تواجه عددًا كبيرًا جدًا من الأدوات لاتخاذ قرار مستنير. إذًا، ما الذي يمكن أن تبحث عنه أكثر عند اتخاذ قرار بشأن المنتج المناسب تمامًا جيل سبوم أداة لك؟

أولاً، تحقق من المعلومات المضمنة أو المحذوفة في إنشاء SBOM. من المحتمل أن تحتوي قائمة المواد التي تتضمن الأدوات والتعليمات البرمجية التي كانت جزءًا من عملية التطوير ولكنها ليست جزءًا من المنتج الفعلي على الكثير من المعلومات الزائدة التي يصعب جدًا "تنظيفها" من الملف الناتج لتمكينك من الاحتفاظ فقط المعلومات الأكثر صلة. وبالمثل، فإن الأدوات أو التعليمات البرمجية التي لم يتم تضمينها أو تم حذفها عمدًا ستكون مفقودة بشكل واضح عندما تريد البحث عن الثغرات الأمنية، على سبيل المثال.

إن قائمة مكونات البرامج وتبعياتها، في حد ذاتها، لا معنى لها في الغالب. إنه يخدم غرضًا ضئيلًا للغاية يتجاوز ما يمكنك اختيار القيام به به. الاستخدام الأكثر شيوعًا لـ SBOMs اليوم هو فحص مكونات البرنامج للحصول على قائمة بالثغرات الأمنية التي قد تؤثر على منتجك.

من المهم أن تتذكر أن حوالي 95% من نقاط الضعف التي تكتشفها غير قابلة للاستغلال في منتجك. الحيلة هي العثور على نسبة الـ 5% المراوغة، ووضع خطة عمل والبدء في التعامل مع نقاط الضعف القابلة للاستغلال هذه. كيف يمكن معرفة ما هو قابل للاستغلال وما هو غير قابل للاستغلال؟ هذا هو السؤال الكبير الذي يبقي رجال الأمن والهندسة مستيقظين في الليل. أحد الاقتراحات الحالية هو استخدام حل يسمى نكد - تبادل قابلية استغلال الثغرات الأمنية، وهو شكل من أشكال الاستشارة الأمنية حيث يكون الهدف هو الإبلاغ عن قابلية استغلال المكونات ذات الثغرات الأمنية المعروفة في سياق المنتج الذي يتم استخدامها فيه. لا يزال الأمر يترك الكثير من العمل المتمثل في غربلة كومة قش معلومات الثغرات الأمنية والعثور على إبرة الثغرات القابلة للاستغلال في الغالب للفريق الهندسي. ففي نهاية المطاف، من سيعرف منتجهم أفضل من الأشخاص الذين قاموا بترميزه؟ 

هناك أشياء أخرى يمكنك القيام بها، خاصة عندما يتعلق الأمر بنقاط الضعف الموروثة التي تأتي من الصور الأصلية لصورة عامل الإرساء الخاص بك أو من التبعيات الموجودة في سلسلة التبعية الخاصة بك. باستخدام أدوات مفتوحة المصدر مثل com.parentimage يمكنك معرفة أي نقاط الضعف جاءت مع الصورة الأصلية وأيها كانت نتيجة مباشرة للتعليمات البرمجية الخاصة بك. ومن المفترض أن يؤدي ذلك إلى القضاء على مجموعة كبيرة محتملة من نقاط الضعف ويجعل مهمة الغربلة أسهل. يعد استخدام العديد من النصائح حول الثغرات الأمنية المختلفة فكرة جيدة أيضًا، لأنه بمجرد تحديد أن الثغرة الأمنية غير قابلة للاستغلال، فمن المنطقي السماح للآخرين في فريقك أو المستخدمين لديك بمعرفة ذلك حتى لا تستمر في التحقق من نفس الثغرة الأمنية في كل إصدار لمنتجك حيث لم تقم حتى بتعديل الوحدة التي تم العثور عليها فيها. يُنصح أيضًا باتباع تبعياتك مفتوحة المصدر والجهات الخارجية بحيث بمجرد العثور على نقاط الضعف القابلة للاستغلال وإصلاحها، يمكنك تحديث هذا الرمز في منتجك لجعله تأكد من أنك محمي أيضًا من تلك المشكلة المحتملة بالتحديد. 

ما الذي يمكنك إضافته أكثر من SBOM؟

كما هو مذكور أعلاه، أحد الاستخدامات الأكثر شيوعًا لـ SBOMs اليوم هو استخدامها كقائمة مرجعية لفحص الثغرات الأمنية. باستخدام العديد من قواعد البيانات المتاحة مجانًا مثل NVD (قاعدة بيانات الثغرات الوطنية)، يمكنك فحص قائمة المكونات، المشابهة لتلك التي يوفرها SBOM، ومعرفة نقاط الضعف التي تحتوي عليها. بمجرد حصولك على قائمة بالثغرات الأمنية، يمكنك ترتيبها حسب خطورتها، والتحقق مما إذا كان هناك أي إصلاحات موجودة، وما إلى ذلك. 

هناك طبقة أخرى من المعلومات المفيدة حول مكوناتك وهي الترخيص الخاص بها. تأتي الكثير من المكونات مفتوحة المصدر بترخيص غير متوافق مع الاستخدام التجاري. من المهم التأكد من أن جميع مكوناتك مفتوحة المصدر، حتى تلك التي لم تقم بتضمينها بنفسك ولكن تم تضمينها بواسطة مكون آخر، متوافقة مع كل ما تحاول القيام به فيما يتعلق بترخيصها.

أحد الاقتراحات الأخيرة هو اتباع مقاييس "الصحة" الأمنية مفتوحة المصدر لتبعياتك مثل بطاقة قياس أداء OpenSSF. يمكن أن يكون وجود مقياس موضوعي بسيط نسبيًا لسلامة الأمن السيبراني للمكتبات مفتوحة المصدر بمثابة مساعدة كبيرة في تحديد المكتبات التي سيتم تضمينها أو حذفها من منتجك. تعد هذه النتائج مجتمعة مع مدى خطورة الثغرات الأمنية طريقة جيدة للمساعدة في ترتيب الثغرات الأمنية التي تريد العمل عليها أولاً. 

إدارة المخاطر كممارسة ذكاء الأعمال

هناك متعددة المخاطر الأمنية ليتعامل معها أي منتج برمجيات هذه الأيام. بين البرامج الضارة، وعمال مناجم العملات المشفرة، وسرقة كلمات المرور، وبرامج الفدية، من المدهش أن يشعر المصنعون بالأمان عند طرح أي شيء في السوق. لا يستطيع أحد التعامل مع كل شيء دفعة واحدة، لذا تقوم الشركات بإنشاء نماذج تهديد ومحاولة إدارة مخاطرها وفقًا لما تعتبره أضعف حلقاتها. أسهل خطوة أولى هي التأكد من أن التعليمات البرمجية وعملية التطوير الخاصة بك متوافقة مع أي لوائح وأفضل الممارسات ذات الصلة. نيست SSDF و OpenSSF SLSA يعد مكانًا جيدًا للبدء بالإضافة إلى متطلبات الولايات المتحدة لأشياء مثل SBOM. إن اتباع اللوائح وأفضل الممارسات يمكن أن يعد على الأقل بالسلامة النسبية من التقاضي بموجب القانون الملاذ الآمن برنامج. ولكن هذه ليست سوى البداية.

يشجع دليل CISA الشركات المصنعة على التعامل مع بناء منتجاتها مع وضع الأمان في الاعتبار أولاً. لا يمكن لبعض إجراءات الأمان "المثبتة" بعد الانتهاء من المنتج أن تخفف من بعض نقاط الضعف الأساسية التي تشكل جزءًا من بنية المنتج. وفقًا للدليل، فإن المنتجات الآمنة حسب التصميم هي تلك التي يكون فيها أمان العملاء هدفًا أساسيًا للأعمال، وليس مجرد ميزة تقنية. ويتم تشجيع الشركات المصنعة أيضا على احتضان الشفافية الجذرية والمساءلة. ويعني ذلك، من بين أمور أخرى، التأكد من أن تحذيرات الثغرات الأمنية وما يرتبط بها من نقاط الضعف والتعرض الشائعة (CVE) السجلات كاملة ودقيقة. ويعني ذلك أيضًا أنه يتم تشجيع مشاركة مكونات التعليمات البرمجية وتبعياتها ونقاط الضعف كوسيلة لتوضيح للمستخدمين والعملاء أن الشركة المصنعة على الأقل على علم بالمشكلات المحتملة في المنتج.

وفقا لويكيبيديا ، ذكاء الأعمال (BI) يشمل الاستراتيجيات والتقنيات التي تستخدمها المؤسسات من أجل تحليل البيانات وإدارة المعلومات التجارية. كما يمكنك أن تتخيل، فإن جمع SBOM لكل إصدار بالإضافة إلى تقرير الثغرات الأمنية ومعلومات الترخيص والإرشادات التي توضح نقاط الضعف التي يمكن استغلالها وتلك التي لا يمكن استغلالها - هذه معلومات كثيرة. يزداد عدد نقاط المعلومات عندما تأخذ في الاعتبار عمر منتج البرنامج النموذجي وحقيقة رغبتك في الحصول على هذه المعلومات لأي كود أو أداة تابعة لجهة خارجية تستخدمها بالإضافة إلى الحزم مفتوحة المصدر التي تتضمنها، بشكل مباشر أو عابر. من أجل فهم كل ذلك بطريقة يمكن استخدامها من قبل السلطات الأمنية في المؤسسة (ربما رئيس أمن المعلومات والأشخاص الخاضعين له)، فأنت بحاجة إلى نظام، ومنصة واحدة "جزء من الزجاج" مما يسمح لك بتنظيم كل تلك المعلومات والبحث فيها بشكل فعال وتقديمها في تقارير مفيدة عند الحاجة. ولإعطاء مثال واحد فقط عن مدى أهمية منصة ذكاء الأعمال لمنصة الأمن السيبراني، تخيل Log4J دراما العام الماضي. ألن يكون من الرائع البحث في جميع منتجاتك بما في ذلك التبعيات وأدوات الطرف الثالث ببضع ضغطات على المفاتيح بحثًا عن هذا الخطر "الجديد"؟ ماذا عن التحقق من وجود تهديد جديد مختلف لمكافحة التطرف العنيف والذي ظهر للتو؟ أو قم بإعداد تقرير حول كيفية تناقص العدد الإجمالي لنقاط الضعف في شركتك بشكل تدريجي بمرور الوقت (أو على الأقل عدم زيادتها). هذا هو نوع معلومات "الصورة الكبيرة" المفيدة التي لا يمكن أن يقدمها إلا نظام ذكاء الأعمال الموجود أعلى منصة المجموعة الغنية بـ SBOM للأمن السيبراني.  

بمجرد حصولك على جميع المعلومات ذات الصلة، يمكنك تقييم المخاطر التي تواجهك حقًا، سواء في التعليمات البرمجية الحالية أو في تبعياتك أو في اختيار تضمين أو حذف بعض أدوات أو تعليمات برمجية تابعة لجهة خارجية من منتجك. عند التشغيل بشكل مستمر، يمكنك أيضًا استخدام تقييم المخاطر هذا لبناء عمليات حماية البوابة وإيقافها من الإنتاج أو التسليم في حالة اكتشاف بعض الأنشطة المشبوهة.

يتطلع إلى المستقبل

تستمر التكنولوجيا في التقدم طوال الوقت. إذا كانت مشاريع التعليمات البرمجية المتجانسة الموجودة على الخوادم الموجودة في مكتب المؤسسة هي القاعدة، ففي الوقت الحاضر أصبحت هندسة الخدمات الصغيرة متعددة السحابة وLLMs تقود الطريق. تحتاج SBOMs إلى مواصلة التقدم لتكون قادرة على دعم أي بنية معقدة أو برامج بنية تحتية تستخدم للحفاظ على أهميتها وفائدتها. على سبيل المثال، يعمل CycloneDX التابع لـ OWASP بالفعل على تضمين شفافية ML بتنسيق SBOM الخاص بهم. يتأكد التنسيق نفسه أيضًا من تضمين إمكانات VEX وواجهة برمجة تطبيقات مشاركة SBOM عند التخطيط للمستقبل. أتوقع أن المزيد والمزيد من المنصات مثل تلك التي أنشأتها كاتب سيتم إنشاؤها لتجميع وتبادل المعلومات المتعلقة بالأمن بما في ذلك SBOMs، لأسباب تنظيمية وللفائدة والقيمة التي تحملها هذه المعلومات المخصبة للمؤسسات التي تستخدمها بشكل صحيح.

منصة Scribe على وشك إطلاق أداة جديدة لذكاء الأعمال كجزء من النظام الأساسي للأمان الحالي مع جميع الإمكانات التي اقترحتها والمزيد. أنا أشجعك على ذلك جربها، تعرف على فائدة هذه المعلومات المتراكمة بمرور الوقت وتعرف على ما يمكنك استخدام المعلومات من أجله. بغض النظر عما إذا كنت اخترت دمج منصة Scribe في SDLC الخاصة بك أم لا، فإن السباق من أجل نظام بيئي أكثر أمانًا ونظام SBOM أكثر شمولاً وإفادة لم ينته بعد. من الأفضل أن تنضم إلى عربة الشفافية الآن بدلاً من فرض الشفافية الجذرية عليك عن طريق التنظيم أو ضغوط السوق.

الوظائف ذات الصلة

الرسم البياني لتبعية CycloneDX SBOM – ما هو المفيد؟

لقد سمعنا جميعًا الكثير عن SBOMs مؤخرًا. وسمعنا عن فائدتها وتكوينها ومتطلباتها من حيث الأمن والتنظيم. هذه المرة أريد أن أخصص بعض الوقت للحديث عن جزء أقل شهرة من CyclonDX SBOM - رسم التبعية. على عكس الاسم الذي يشير إلى أن الرسم البياني للتبعية ليس […]

ما مدى ثقتك بما يحدث بالفعل داخل خط أنابيب CI/CD الخاص بك؟ العناصر التي يجب عليك تأمينها، وكيف

من المعروف أن خطوط أنابيب CI/CD مبهمة فيما يتعلق بما يحدث بالضبط في الداخل. حتى لو كنت أنت الشخص الذي كتب ملف تكوين YAML (قائمة تعليمات المسار) كيف يمكنك التأكد من أن كل شيء يحدث تمامًا كما هو موضح؟ والأسوأ من ذلك، أن معظم خطوط الأنابيب سريعة الزوال، لذلك حتى لو حدث شيء سيئ، فلا داعي […]

NIST SP 800-218 – ما هو هذا الإطار وكيفية استخدامه

يعزز إطار تطوير البرمجيات الآمنة (SSDF) الخاص بـ NIST الشفافية وإجراءات مقاومة التلاعب لتقليل مخاطر التدخل الضار والتعرض لنقاط الضعف في دورة حياة تطوير البرمجيات.