Angriffe auf die Lieferkette sind auf dem Vormarsch, aber viele Unternehmen sind noch nicht darauf vorbereitet. In dart Artikel erklärt Gonda Lamberink, Cybersecurity Executive bei Bureau Veritas, wie SBOMs Ihnen helfen können, sich auf künftige Bedrohungen der Lieferkette vorzubereiten. Sie betont, dass das Verständnis des Kontextes von Schwachstellen, z.B. ob Software wirklich ausnutzbar ist, unerlässlich ist, um den Wert von SBOMs zu maximieren.

Die Bedrohung: Zunahme der Angriffe auf die Lieferkette

Die weit verbreitete Verwendung von Open-Source-Komponenten in Software und Schwachstellen wie Log4j und SolarWinds haben die Anfälligkeit von Lieferketten offengelegt.

In seinem 20. jährlichen State of the Software Supply Chain Report stellt Sonatype fest, dass die Angriffe auf die Software-Lieferkette zugenommen und sich gegenüber dem Vorjahr verdoppelt haben. Bis August wurden mehr als 700.000 bösartige Open-Source-Softwarepakete (OSS) identifiziert - ein atemberaubender Anstieg von 156 % gegenüber dem Vorjahr - was die zunehmenden Risiken für Unternehmen unterstreicht, die ihre OSS-Abhängigkeiten nicht effektiv verwalten.

Trotz der zunehmenden Risiken für die Lieferketten ist die Reaktionsfähigkeit der Unternehmen gering. Laut dem Global Cybersecurity Outlook 2024 des Weltwirtschaftsforums (WEF) glauben 55,9 % der Führungskräfte, dass Technologien wie die generative KI Angreifern derzeit einen Vorteil verschaffen, während nur 8,9 % die Cyberlandschaft zugunsten der Verteidiger sehen. Wenn es um Angriffe auf die Lieferkette geht, haben 54% der Unternehmen kein ausreichendes Verständnis der Cyberschwachstellen in ihrer Lieferkette.

SBOMs: Teil der Lösung

Als Fachmann in der Cybersicherheitsbranche glaube ich, dass SBOMs ein wichtiger Teil der Lösung für dieses Sicherheitsproblem in der Lieferkette und insbesondere für den derzeitigen Mangel an Transparenz in der Software-Lieferkette sind. Sie haben das Potenzial, ein wesentlicher Bestandteil der Software-Sicherheitspraktiken zu werden: Sie können die Zusammenarbeit und die Verantwortlichkeit in der Lieferkette erleichtern, um das Risiko zu mindern.

Was ist eine SBOM?

Eine SBOM (Software Bill of Materials) ist im Wesentlichen eine detaillierte Liste aller Komponenten, aus denen eine Software besteht, ähnlich wie die Zutatenliste auf verpackten Lebensmitteln, geschrieben in einem Standardformat. Sie enthält einen Katalog aller Open-Source- und proprietären Softwarekomponenten. SBOMs verschaffen Unternehmen Transparenz in ihrer Software-Lieferkette und ermöglichen es ihnen, ihre Sicherheitsrisiken, Compliance-Anforderungen und betrieblichen Schwachstellen besser zu verwalten.

Warum sind SBOMs wichtig?

Da SBOMs die Komponenten eines Softwaresystems oder -produkts dokumentieren, sind sie unerlässlich, um ein Verständnis für potenzielle Schwachstellen und Abhängigkeiten zu schaffen. Zwei viel beachtete Vorfälle unterstreichen die Bedeutung von SBOMs:

• SolarWinds (2020): Angreifer haben bei der Entwicklung der Software bösartigen Code eingeschleust und damit mehr als 18.000 Kunden, darunter Bundesbehörden und große Unternehmen, gefährdet. SBOMs hätten den Angriff zwar nicht verhindern können, aber sie hätten eine entscheidende Hilfestellung geboten: Sie hätten Organisationen dabei helfen können, zu überprüfen, ob sie die betroffene Softwareversion verwenden und schneller zu handeln, um die Risiken zu beseitigen.
• Log4j (2021): Jeder erinnert sich an diesen Angriff. Eine kritische Schwachstelle in einer weit verbreiteten Java-Bibliothek betraf Millionen von Anwendungen. Anders als bei SolarWinds, wo der Angriff auf einen Prozess abzielte, wurden bei Log4j die Risiken von Komponentenabhängigkeiten deutlich. Viele Unternehmen wussten nicht, dass sie sich auf Log4j verließen, was ihre Reaktion verzögerte. An dieser Stelle hätten SBOMs eine entscheidende Rolle gespielt. Indem sie den Unternehmen einen detaillierten Einblick in die Software-Abhängigkeiten geben, hätten SBOMs es möglich gemacht, die Verwendung von Log4j schnell zu identifizieren, Prioritäten für die Behebung zu setzen und die enormen Auswirkungen der Schwachstelle wirklich zu mildern.

Regulatorischer Druck für den Einsatz von SBOMs

Aufsichtsbehörden und politische Entscheidungsträger in aller Welt haben die Bedeutung von SBOMs erkannt. Hier sind einige wichtige Beispiele für Vorschriften und Richtlinien, die den Einsatz von SBOMs erwähnen oder vorschreiben:

• EU Cyber Resilience Act (CRA): Verlangt SBOMs für alle digitalen Produkte, um Schwachstellen in Software zu beheben und die Verantwortlichkeit in Lieferketten zu stärken.
• US Executive Order 14028: Verlangt SBOMs für Software-Beschaffungen der Bundesregierung, mit Anleitungen von NTIA, NIST und CISA zur Unterstützung der Umsetzung.
• Branchenspezifische Regeln: Branchen wie das Gesundheitswesen, das Transportwesen und kritische Infrastrukturen legen jetzt großen Wert auf SBOMs, um z.B. mit den Richtlinien der FDA zur Cybersicherheit, den UNECE-Vorschriften für die Typgenehmigung von Fahrzeugen und den NIS2-Vorschriften übereinzustimmen.

Wie man SBOMs in der Praxis einsetzt

Vorschriften und Richtlinien sind natürlich nicht gleichbedeutend mit Taten. Ich sehe ein paar Dinge, die die Branche tun kann, um SBOMs auf den Weg zu bringen, und ich würde Softwareanbietern und -anwendern empfehlen, Folgendes zu tun:

• Anbieter: Generieren Sie SBOMs in jeder Phase des Software-Lebenszyklus (Source, Build, Deployment) in Übereinstimmung mit den allgemein verwendeten SBOM-Standardformaten wie SPDX und CycloneDX. Implementieren Sie automatisierte Systeme für Echtzeit-Updates, um die Genauigkeit zu gewährleisten.
• Integratoren: Integrieren Sie SBOMs in ihre Lösungen und pflegen Sie eine offene Kommunikation mit den Eigentümern von Anlagen über deren Verwendung und Auswirkungen.
• Asset-Eigentümer und -Betreiber: Nutzen Sie SBOMs, um Beschaffungs-, Betriebs-, Schwachstellenmanagement- und Incident-Response-Prozesse mit den Best Practices für Software-Sicherheit in Einklang zu bringen.

Die Einführung von SBOMs wird wesentlich effektiver, wenn Organisationen etablierte oder auch neu entstehende Standards befolgen, nicht nur für ihre Erstellung - etwa Formate wie SPDX und CycloneDX - sondern auch für ihre Weitergabe und Verwendung.

Darüber hinaus ist mein wichtigster Ratschlag, SBOMs in bestehende Tools zu integrieren, einschließlich Software Composition Analysis (SCA), Continuous Integration/Continuous Deployment (CI/CD)-Pipelines, Governance-, Risiko- und Compliance (GRC)-Systeme und Lösungen für das Schwachstellenmanagement, was ihre Nutzbarkeit erheblich verbessert, insbesondere wenn sie zusammen mit anderen Artefakten verwendet werden, die ebenso wichtig sind wie eine SBOM, wie z.B. eine Vulnerability Exploitability eXchange (VEX)-Datei, die den Status und die Auswirkungen von Schwachstellen enthält, die mit einer SBOM verbunden sind.

Dieser Ansatz verwandelt SBOMs von einer statischen Liste in umsetzbares Wissen, das die Sicherheit, die Einhaltung von Vorschriften und die betrieblichen Arbeitsabläufe stärkt:

• Automatisierungs-Tools können die Erstellung, Aktualisierung, gemeinsame Nutzung und Verwendung von SBOMs während des gesamten Software-Lebenszyklus rationalisieren und so Fehler reduzieren und die Effizienz steigern.
• Durch die Verknüpfung von SBOMs mit kontextbezogenen Schwachstellendaten, Threat Intelligence Feeds und Governance Frameworks können Unternehmen Schwachstellen und Risiken effektiver angehen.

Mein Fazit: Ja, SBOMs sind ein Wendepunkt

Fazit: SBOMs verändern die Sicherheit der Lieferkette, indem sie den Bedarf an Transparenz und Verantwortlichkeit decken, insbesondere in kritischen Sektoren. Sie bieten Einblicke, die es Unternehmen ermöglichen, Risiken effektiver zu managen und Schwachstellen besser zu erkennen, wie in Sektoren wie dem Energiesektor zu sehen ist, wo SBOMs eine Schlüsselrolle bei der Erfüllung von Compliance-Anforderungen und der Aufrechterhaltung des Betriebs spielen.

Ja, um die Frage zu beantworten, die im Mittelpunkt dieses Artikels steht: Ich denke, dass SBOMs die Sicherheit in der Lieferkette entscheidend verbessern, insbesondere wenn sie mit dem Kontext der Ausnutzbarkeit von Schwachstellen über VEX-Dateien kombiniert werden. SBOMs zeigen Schwachstellen auf, während VEX-Dateien effektiv dabei helfen, echte Risiken zu priorisieren und zu beseitigen. Beide sollten keine statischen Artefakte sein: Ihr volles Potenzial wird durch die Integration mit CI/CD-Pipelines und Systemen zur Verwaltung von Schwachstellen ausgeschöpft, wobei die Automatisierung dafür sorgt, dass sie ständig aktualisiert werden und nutzbar bleiben.