SBOM反擊被誤導：設備制造商的透明度即將到來

舊金山Claroty 網絡戰略副總裁 Josh Corman 于 4 月 26 日表示，對所有設備的軟件物料清單 (SBOM) 的抵制，無論是真誠的還是虛偽的，都是誤導的，并且對提高設備安全性造成了損害。

I am the Calvary 的創始人、 SBOM 政策的“創始人”Corman 說：“JAVA 一直在這樣做，這始于 40 年代，不是為了網絡安全，而是為了商業價值、質量和效率。SBOM不是新的、異國情調的、可怕的。那么為什么人們如此害怕呢？”

將 SBOM 包含在設備提交中的反對者談到了增加的成本、知識產權的暴露，甚至是創建攻擊設備路線圖的可能性。將這些相同的概念應用于 CVE、MITRE Att&ck 甚至逆向工程工具，它會揭示偏見或錯位的擔憂。

圍繞SBOM建立安全管理流程

白宮國家網絡戰略和 FDA 最近圍繞醫療設備制造商的網絡要求采取的行動證實了所有供應商的透明度和責任。

SBOM 絕不是靈丹妙藥，它是一個數據層，可以讓安全領導者更好地執行他們的工作。該標簽提供了急需的透明度，并且數據證實，那些有權訪問這些關鍵文件的人能夠更好地解決已知問題。

SBOM 如何幫助組織緩解 Log4j 問題

以Log4j為例，根據一項研究，能夠訪問 SBOM 的實體不太可能面臨倦怠，并且能夠比沒有訪問權限的實體更快地保護受影響的設備。

然而，所有團體面臨的最大挑戰是供應鏈供應商的響應延遲。可以說，醫療保健行業面臨著透明度方面的最大挑戰之一，尤其是來自設備供應商的挑戰。

Corman 提到了該國最大的衛生系統之一 Sutter Health 的 Log4j 響應，并將其與金融部門的響應進行了比較。一家未具名的金融實體能夠通過 Log4j 從他們的供應商那里獲得所需的信息，并且在四天內，他們修復了 4,000 個受影響的應用程序中的 80%。

另一方面，Corman 解釋說，在 480 天之后，Sutter Health 仍未從 55% 的醫療器械和設備供應商那里收到能夠修復缺陷的必要數據。Sutter Health 擁有“該國最成熟的網絡安全計劃之一”。

那個時間間隔長甚至不涉及補救，衛生系統甚至無法確定這些關鍵任務設備中可能存在 Log4j 的位置，醫院擁有“不透明的供應鏈”。在 Log4j 被披露一年多之后，關鍵的救生設備仍然處于危險之中。

 使用SBOM生成軟件風險信息

大多數醫院“不知道自己的代碼中有什么”。大多數供應商無法讓他們的客戶通過風險來識別它。不透明會害死人，不透明可能已經殺了人。如果我們擁有技術，就讓我們應用該技術。

大部分的阻力都是真誠的，并且植根于一系列擔憂，其中一些與可能暴露的“無法解決的技術債務”的使用有關，甚至是由于在沒有適當許可的情況下使用開源技術而產生的法律問題。

新發現的透明度確實可能會造成法律曝光，或者由于依賴于舊平臺的令人難以置信的舊版本，迫使公司將許多設備推向生命周期的盡頭。

“無論你是否表現出來，無法解決的技術債務都是真實存在的。人們害怕這種啟示。” Corman繼續說道，“人們擔心每次報告已知的漏洞利用時，他們可能會受到持續的審查和問責。”

擔憂是否合理？

正如 Corman 直言不諱地說的那樣，這背離了“通過默默無聞獲得安全根本就不是安全的基本普遍信念”。

不僅如此，現在許多法規使這些爭論成為一個有爭議的問題。雖然行業團體繼續反對這些要素，但 FDA 的新當局已對所有新醫療設備提交（包括 SBOM）強制執行網絡要求。

正如SC Media 報道的那樣，在10 月 1 日截止日期之前，FDA 已經在設備提交不包含這些必要元素時進行干預，屆時他們將拒絕因未能滿足要求而提出的申請。

這些最低網絡衛生要求之所以成為可能，部分原因是我們現在可以看到，這些對醫院的攻擊造成了生命損失。

這里的關鍵是對所負責的客戶直截了當，對自身是否以及何時能夠解決這些問題設定期望，然后做出明智的成人決定，分擔下游傳遞的風險。