SBOM e seu papel na cibersegurança

Uma pesquisa recente revelou como as organizações planejam incrementar a segurança da cadeia de suprimentos de software em 2022 para se proteger contra ataques que exploram vulnerabilidades.

Realizado em dezembro de 2021 com 428 líderes e executivos em funções de TI, segurança e desenvolvimento, o estudo coincidiu com um período próximo da divulgação da vulnerabilidade Log4j, biblioteca Java de código aberto desenvolvida pela Apache Foundation e amplamente usada por desenvolvedores de aplicativos e serviços na Internet. Os impactos observados pelos entrevistados ​​logo após o incidente foram relatados como significativos ou moderados à cibersegurança da cadeia de suprimentos de software.

A segurança da cadeia de suprimentos de software será um importante centro de atração, se não o principal em 2022 para 54% dos entrevistados. Já 76% das grandes organizações aumentarão o uso do chamado Software Bill of Materials (SBOM, ou Lista de Materiais de Software (SBOM), uma evidência de que as práticas SBOM deverão ganhar força com o objetivo de melhorar a segurança da cadeia de suprimentos de software. No entanto, apenas 18% dos entrevistados contam com SBOMs completos para todos as aplicações, e menos de um terço segue as práticas recomendadas sobre como manter um repositório SBOM e solicitar SBOMs de fornecedores.

“A ação mais importante agora é gerar e armazenar SBOMs para as aplicações que as organizações desenvolvem e usam. Essa base fundamental garante visibilidade sobre os componentes de software dos quais elas dependem e devem monitorar para segurança dos aplicativos pós-implantação. Com SBOMs, as organizações estarão prontas para responder rapidamente à próxima vulnerabilidade zero-day”, destaca Josh Bressers, vice-presidente de segurança da Anchore, empresa que conduziu a pesquisa.

SBOM – importância e desafios

SBOM pode ser considerado o conjunto de componentes e bibliotecas e suas respectivas licenças e dependências que compõem uma aplicação de software. São documentos que podem ser interpretados por máquinas e considerados um subproduto natural do processo de desenvolvimento mais moderno. O conceito SBOM já circula pelo mundo da TI há uma década, mas tem recebido mais atenção à medida que se buscam mais recursos para garantir a segurança da cadeia de suprimentos de software.

“Por anos, temos debatido a ideia de que software e serviços em nuvem devem contar com SBOMs confiáveis que facilitem descobrir quais bugs podem ser considerados críticos para os produto que usamos”, comentou Paul Ducklin, principal pesquisador de segurança da Sophos.

Até mesmo o governo norte-americano parece estar se atentando ao tema SBOM ultimamente. Entre outros pedidos, uma ordem executiva do presidente Biden relacionada à segurança cibernética solicita o desenvolvimento de diretrizes sobre o que as SBOMs devem incluir.

“Um formato SBOM amplamente usado e legível por máquina garante mais benefícios por meio da automação e integração via ferramentas. Os SBOMs ganham mais valor quando armazenados coletivamente em um repositório que possa ser facilmente consultado por outros aplicativos e sistemas. Compreender a cadeia de suprimentos de software, desenvolver SBOMs e usá-los para analisar vulnerabilidades é fundamental para a gestão de riscos”, destaca a ordem executiva.

As iniciativas do governo em torno do tema SBOM estão sendo lideradas por Allan Friedman, consultor sênior e estrategista da CISA (Cybersecurity and Infrastructure Security Agency) e incluem quatro fluxos de trabalho: aplicações na nuvem e on-line, ferramentas e implementação, compartilhamento e troca de SBOMs, acesso e adoção.

Mas por que será que as medidas associadas ao SBOM ainda não decolaram? Para Eric Byres, diretor de tecnologia da aDolus, é simples gerar SBOMs no momento em que se desenvolve, mas o que dizer sobre as aplicações (apenas em código binário) que já estão instaladas e em uso ao redor do mundo? Essa categoria representa cerca de 95% do software usado em sistemas críticos atualmente, segundo ele. Além disso, os SBOMs de hoje são documentos estáticos, que não são capazes de incorporar atualizações automaticamente.

Converter um enorme volume de dados SBOM em inteligência também é um grande desafio, na visa de Byres. É preciso fazer o que o executivo chama de enriquecer SBOM: usar as listas dos componentes brutos do software, determinar os fatores de risco para cada um e estipular prioridades.

Para ajudar na nova tarefa de administrar SBOMs, já estão sendo divulgadas abordagens para criar, gerenciar e usá-las, abrangendo os principais estágios do ciclo de vida do software:

1. Armazenar e gerenciar SBOMs em um repositório central;

2. Adotar padrões SBOM. O Software Packet Data Exchange (SPDX), usado há mais de uma década para documentar componentes de software, agora é um padrão reconhecido internacionalmente SBOM;

3. Exigir SBOMs para todo software integrado à organização;

4. Gerar SBOMs em cada etapa do processo de desenvolvimento e para cada compilação (build);

5. Criar SBOMs abrangentes para cada versão de software implantado ou fornecido;

6. Usar ferramentas de automação para aplicação de políticas e alertas.