São Paulo — InkDesign News — Novas diretrizes de SBOM (Software Bill of Materials) da CISA trazem avanços significativos para a segurança cibernética, mas ainda não atendem a várias necessidades críticas identificadas por especialistas na área.
Vetor de ataque
As novas regras atualizadas da CISA visam melhorar a visibilidade de componentes de software e potenciais vulnerabilidades, mas a implementação efetiva enfrenta desafios. A falta de uma padronização robusta pode facilitar vetores de ataque como zero-days, que exploram falhas não divulgadas em softwares. Esses vetores exigem atenção especial, pois podem ser utilizados para acessar redes corporativas e sistemas críticos sem detecção.
Impacto e resposta
A falta de um SBOM granular pode levar a um impacto significativo em organizações que operam sob regulamentos de conformidade estritos. “As novas diretrizes são um passo sólido para tornar os SBOMs mais úteis para defensores cibernéticos, mas não abordam muitas necessidades críticas”, alerta um especialista no tema.
(“The updated guidelines are a solid step toward making SBOMs more useful for cyber defenders but don’t address many critical needs.”)
As falhas exploradas, como a CVE-2021-22930, exemplificam o risco associado à falta de visibilidade em bibliotecas de terceiros; assim, a responsabilidade recai sobre as organizações para implementar controles adequados de mitigação.
Análise e recomendações
É fundamental que as empresas invistam em ferramentas que permitam a análise profunda de SBOMs e priorizem a educação contínua de suas equipes sobre as melhores práticas de segurança. A implementação de ferramentas automatizadas que verifiquem regularmente o estado dos componentes de software é essencial para prevenir ataques potenciais. Com um aumento constante nas ameaças, a proatividade na manutenção da segurança cibernética deve ser uma prioridade.
As novidades em SBOMs marcam um progresso importante, mas o setor de segurança cibernética deve continuar vigilante e adaptável às novas ameaças que surgem.
Fonte: (Dark Reading – Segurança Cibernética)
