发布日期:2025-02-21 浏览次数:
供应链攻击多种多样,既影响企业组织,也影响政府实体。由于黑客使用的商业软件产品和开源软件是这些攻击的潜在目标,因此您的组织必须清楚了解软件开发和部署流程中使用的软件和加密资产,以防范和缓解这些攻击。
2020 年,SolarWinds 供应链攻击不仅影响了数千家组织,还影响了美国政府。黑客在 Orion IT 更新工具中注入了一个名为 SUNBURST 的后门。
2021 年 2 月,安全研究员 Alex Birsan 利用依赖项混淆攻击了微软、特斯拉、优步和苹果,通过使用同名恶意包覆盖名为“依赖项”的软件包,在他们的网络上执行恶意软件。
为了提高对此类攻击的安全性,美国政府于 2021 年发布了一项行政命令,要求软件供应商提供软件物料清单 (SBOM)。SBOM 是所有模块、库和第三方依赖项以及元数据信息(例如与您的软件应用程序相关的许可证和版本)的综合列表,可让您快速识别和更新受供应链攻击影响的组件。
此外,美国国家标准研究所 (NIST)建议使用密码物料清单 (CBOM) 扩展 SBOM,作为采用后量子密码 (PQC) 的指南的一部分。
CBOM 可详细了解与您的 SBOM 清单相关的各种加密资产。虽然您的 SBOM 清单通常包括操作系统、Web 服务器\应用服务器、SSL\TLS 库 (OpenSSL)、配置、监控和日志管理工具及其元数据信息,但另一方面,您的 CBOM 清单会使用诸如X.509 证书、SSH 密钥及其大小、RSA、ECDSA 等公钥加密算法、SHA1、SHA2 等哈希算法以及任何其他元数据信息(例如许可证和任何已知漏洞)等详细信息来扩充您的 SBOM 清单。?
CBOM 为您的组织提供了有关整个组织中使用的各种商业和开源软件的加密资产的详细信息,从而帮助管理和监控组织的加密足迹,这进一步有助于提高组织的安全敏捷性,通过采取主动措施防范各种供应链攻击,并通过快速识别和修补受影响的组件,缩短响应时间,以应对和恢复任何此类攻击。相反,如果没有 CBOM,任何安全漏洞的运营和财务影响都将是多方面的。拥有更新的 CBOM 清单还可以帮助您的组织符合各种法规合规性要求,例如 NIST、ISO 27001 和 GDPR。
由于 CBOM 对我们的加密资产提供了更深入的洞察,它还有助于规划从现有算法(如RSA、DSA、ECDSA和 ECDH)迁移到后量子密码 (PQC) 算法(如 ML-KEM、ML-DSA、SLH-DSA)。?
让我们来看看在您的组织中实施 CBOM 的一些关键考虑因素。
创建 CBOM 库存的一个重要方面是识别系统内的各种加密实体,例如第三方应用程序(数据库、配置管理和自动化工具)、源代码、静态数据(配置文件、数字证书、密码和密钥)、移动数据(SSL/TLS协议和 VPN 配置)和硬件(HSM和 IoT 设备)。
需要考虑的另一个方面是确定在系统开发和部署的各个阶段中何时生成清单。每个阶段都可以生成自己的清单,以扩充前几个阶段的清单,从而捕捉清单组件引入阶段之间的联系,从而促进对任何漏洞的分析和修复。此外,组织中的不同利益相关者对清单范围有不同的要求。例如,产品开发团队会对与源代码、软件依赖关系和应用程序配置相关的加密清单感兴趣,而 IT 运营团队可能对与软件、PKI、SaaS、网络、数据和硬件相关的更大清单范围感兴趣。
定期审计和审查 CBOM 至关重要,以确保加密实体符合最新的安全标准并修复任何即将出现的漏洞,例如,替换易受攻击的密钥大小和算法、更新和撤销证书等。
专业的产品:作为Thales中国区的重要合作伙伴,揽阁信息为您提供经过FIPS 140-2、FIPS 140-3、CC EAL4+等认证的 HSM 和 数据安全平台 产品,可有效确保您的加密密钥安全、数据保护安全,提供符合您业务场景的高速加解密性能要求的解决方案。
专业的服务:揽阁信息的专业团队拥有20年信息安全行业从业经验,可以为您的技术团队提供咨询服务、技术支持、制作定制化解决方案。
分别使用 SBOM 和 CBOM 来总结、识别和管理组织的软件及其相关的加密资产是保护和减轻与软件漏洞和加密攻击相关的风险的关键。现在就联系揽阁信息,了解更多信息。
揽阁信息 · 值得您信赖的信息安全顾问!
服务热线
