Eine Koalition von Verbänden der Cybersicherheitsbranche hat einen offenen Brief veröffentlicht, in dem sie den US-Kongress auffordert, die Anforderungen an Software-Bill-of-Materials (SBOMs) für Auftragnehmer im Verteidigungsbereich aufzuschieben.
Der Brief bezieht sich auf Abschnitt 4543 des National Defense Authorization Act for Fiscal Year 2023, der das US-Verteidigungsministerium verpflichtet, Anforderungen für eine Software Bill of Materials (SBOM) für Auftragnehmer festzulegen.
SBOM bezieht sich auf eine Liste aller Open-Source- und Drittanbieter-Komponenten und der Bestandteile, aus denen diese Komponenten bestehen. Dies wird als ein wesentlicher Aspekt des Software- und Lieferketten-Risikomanagements angesehen, da es den Sicherheitsteams ermöglicht, mehr Einblick in die Risiken von Drittanbietern in ihrer Software-Lieferkette zu erhalten.
SBOMs sind in letzter Zeit immer mehr in den Fokus der Bundesregierung gerückt, da Präsident Joe Bidens Durchführungsverordnung „Improving the Nation’s Cybersecurity“ vom Mai 2021 neue Anforderungen an Softwareanbieter enthält, diese Liste als Teil des Beschaffungsprozesses der Bundesregierung bereitzustellen. Darüber hinaus hat die Cybersecurity and Infrastructure Security Agency (CISA) im November 2022 die Verwendung von SBOMs als Teil ihrer Beratung zur Sicherung der Software-Lieferkette aufgenommen.
In dem offenen Brief werden die Heimatschutzausschüsse des Kongresses jedoch aufgefordert, diese Gesetzgebung zu verzögern, „während die zahlreichen Aktivitäten der Exekutive im Zusammenhang mit SBOMs das Ökosystem reifen lassen“.
Es werden vier Schlüsselfaktoren genannt, die für einen Aufschub der Gesetzgebung in diesem Bereich sprechen:
1. Die Koalition zitierte den Bericht des Cyber Safety Review Board (CSRB) vom Juli 2022 über den berüchtigten Log4j-Vorfall, in dem hervorgehoben wurde, dass die Entwicklung von SBOMs ausgereifter sein muss, bevor sie gesetzlich verankert werden. So wurde beispielsweise festgestellt, dass SBOMs durch Abweichungen in den Feldbeschreibungen und fehlende Versionsinformationen über katalogisierte Komponenten eingeschränkt sind.
2. In dem Schreiben wird argumentiert, dass der Kongress und die Regierung derzeit einen „unkoordinierten Ansatz bei der Politikgestaltung in Bezug auf SBOMs“ verfolgen, was dieses neue Umfeld weiter verkompliziert.
3. Der Brief wies auch darauf hin, dass die Gesetzgebung, wenn sie wie geplant verabschiedet wird, in Kraft treten wird, bevor die Bundespolitik zu SBOMs in Kraft tritt, wie z.B. Bidens Executive Order. „Bleiben diese unterschiedlichen Mandate ungeprüft, ist mit Konflikten bei der Gestaltung und Ausführung zu rechnen“, weshalb das Verteidigungsministerium die Wirkung und den Einsatz von SBOMs, die durch die Anordnung vorgeschrieben sind, beobachten sollte.
4. Die Koalition warnte vor den „übermäßig vereinfachenden Analogien“, die zur Beschreibung von SBOMs verwendet werden, die sich im Laufe ihres Lebenszyklus entwickeln und verändern müssen. Daher ist mehr Zeit erforderlich, um die komplexen Formate, Verfahren, die Einheitlichkeit und den Schutz zu etablieren, die notwendig sind, um SBOMs in großem Maßstab handhabbar zu machen.
Die Koalition betonte, dass sie sich der Bedeutung von SBOMs bewusst ist und sich verpflichtet fühlt, mit dem Kongress zusammenzuarbeiten, um sie effektiv zu gestalten.
In dem Schreiben heißt es: „Es wird erwartet, dass SBOMs Organisationen dabei helfen, Cyber-Risiken zu reduzieren, aber sie benötigen Prozesse, Werkzeuge und Standards, um SBOMs in verbesserte Cybersicherheitsergebnisse umzusetzen. Regierungen, die Industrie und andere Interessengruppen arbeiten bereits an der Entwicklung dieser Prozesse, Tools und Standards – Bemühungen, die in einem beeindruckenden Tempo voranschreiten. Der konstruktivste Schritt, den der Kongress unternehmen kann, damit SBOMs die erwarteten Vorteile bringen, ist die Unterstützung dieser laufenden Arbeit und die Sicherstellung, dass künftige Gesetze, die SBOMs vorschreiben, in der gesamten US-Regierung harmonisiert werden.“
Zu den Unterzeichnern des Schreibens gehören die Alliance for Digital Innovation (ADI), The Software Alliance, das Center for Procurement Advocacy (CPA), die Cybersecurity Coalition und die US-Handelskammer.
Jamie Scott, Gründungsproduktmanager bei Endor Labs, stimmte der Aussage der Koalition zu, dass SBOMs vor ihrer Einführung noch verfeinert werden müssen: „Die Schlüsselfrage, die sich die Behörden stellen müssen, lautet: Welche Daten sind in einer SBOM erforderlich und was unterscheidet eine Qualitäts-SBOM von einer Minimal-SBOM?
„Wenn Organisationen die Datenqualität definieren, können sie mit einer Reihe von empfohlenen Werkzeugen arbeiten, die die höchste Datenqualität liefern. Solange jedoch keine genehmigten und überprüften Werkzeuge geschaffen werden, wird dies angesichts der Unterschiede zwischen den verschiedenen Lösungen schwierig sein.“
Die Verantwortung für diesen Leitfaden den Agenturen aufzubürden, wird zu Reibungsverlusten und Schneeflocken-Anforderungen zwischen den Agenturen führen, was wiederum zu Reibungsverlusten im gesamten Ökosystem führen wird. Wir müssen zuerst mit vernünftigen Anforderungen für Daten und vernünftigen Praktiken beginnen.
„Die Branche hat keinen Vertrag oder Standardpraktiken und -prozesse festgelegt, die wiederholt befolgt werden können, und die bereitgestellten Leitlinien enthalten keine Einzelheiten zu diesen Praktiken und Prozessen.
„Wenn wir zunächst einmal Transparenz schaffen wollen, gibt es bereits einen Großteil der Instrumente, um dieses Ziel zu erreichen. Aber die Praktiken und Prozesse sind heute in der gesamten Branche unklar.“
Am 30. November ergab eine Untersuchung von CyberSheath, dass 87 % der US-amerikanischen Rüstungsunternehmen die grundlegenden Anforderungen der Cybersicherheitsvorschriften nicht erfüllen.
Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com
Hacker signieren Android-Malware-Apps mit kompromittierten Plattformzertifikaten