Meteen naar de inhoud

webinar: Meld je aan voor ons aankomende webinar.

Aanmelden

  1. Blogs
    2. Data Protection

Cryptografische stuklijst (CBOM): de sleutel tot het beveiligen van uw software-toeleveringsketen

Posted byAmit Rastogi 05 Minuten
CBOM-banner
Inhoudsopgave

Aanvallen op de toeleveringsketen zijn divers en treffen zowel bedrijven als overheidsinstanties. Omdat commerciële softwareproducten en open-sourcesoftware door hackers als potentiële doelwitten van deze aanvallen worden gebruikt, is het belangrijk dat uw organisatie een duidelijk inzicht heeft in de software en cryptografische assets die in uw softwareontwikkelings- en implementatiepijplijnen worden gebruikt om zich te beschermen tegen deze aanvallen en deze te beperken.   

In 2020 de SolarWinds supply chain-aanval had niet alleen gevolgen voor duizenden organisaties, maar ook voor de Amerikaanse overheid. Hackers hebben een backdoor, genaamd SUNBURST, in de Orion IT-updatetool geplaatst.  

In februari 2021 slaagde beveiligingsonderzoeker Alex Birsan erin om Microsoft, Tesla, Uber en Apple te hacken met behulp van Dependency Confusion. Hij voerde malware uit op hun netwerk door softwarepakketten genaamd 'dependencies' te overschrijven met kwaadaardige pakketten met dezelfde naam.  

Om de beveiliging tegen dergelijke aanvallen te verbeteren, heeft de Amerikaanse overheid in 2021 een uitvoerend bevel uitgevaardigd dat softwareleveranciers verplicht een softwarefactuur (SBOM) te verstrekken. De SBOM is een uitgebreide lijst van alle modules, bibliotheken en afhankelijkheden van derden, evenals metadata zoals licenties en versies die aan uw softwareapplicaties zijn gekoppeld. Zo kunt u snel de componenten identificeren en bijwerken die zijn getroffen door een supply chain-aanval.  

Bovendien, De Nationaal Instituut voor Standaarden (NIST) heeft aanbevolen de SBOM uit te breiden met een Cryptography Bill of Materials (CBOM) als onderdeel van haar richtlijnen voor de invoering van Post Quantum Cryptography (PQC). 

Wat is een cryptografische stuklijst (CBOM)?  

Een CBOM biedt gedetailleerd inzicht in de verschillende cryptografische assets die aan uw SBOM-inventaris zijn gekoppeld. Terwijl uw SBOM-inventaris doorgaans het besturingssysteem, de webserver/applicatieserver, SSL/TLS-bibliotheek (OpenSSL), configuratie-, monitoring- en logbeheertools en de bijbehorende metadata omvat, vult uw CBOM-inventaris uw SBOM-inventaris aan met details zoals X.509-certificaten, SSH-sleutels en hun groottes, cryptografische algoritmen voor openbare sleutels zoals RSA, ECDSA en andere, hash-algoritmen zoals SHA1, SHA2, enz. en alle aanvullende metagegevens zoals licentie en eventuele bekende kwetsbaarheden.   

CBOM

Verkrijg volledig inzicht met continue cryptografische detectie, geautomatiseerde inventarisatie en datagestuurde PQC-correctie.

Boek een adviesgesprek

Hoe kan CBOM uw beveiligingsbeleid verbeteren?  

CBOM biedt uw organisatie gedetailleerd inzicht in de cryptografische activa die verband houden met de verschillende commerciële en open-source software die binnen uw organisatie wordt gebruikt. Dit helpt bij het beheer en de monitoring van de cryptografische voetafdruk van uw organisatie. Dit draagt ​​verder bij aan het verbeteren van de beveiligingsflexibiliteit van uw organisatie door proactieve maatregelen te nemen ter bescherming tegen diverse aanvallen in de toeleveringsketen en zorgt voor snellere responstijden om te reageren op en te herstellen van dergelijke aanvallen door de getroffen componenten snel te identificeren en te patchen. Zonder CBOM daarentegen zouden de operationele en financiële gevolgen van een beveiligingsinbreuk talrijk zijn. Een bijgewerkte CBOM-inventarisatie zou uw organisatie ook helpen bij het voldoen aan diverse wettelijke vereisten, zoals NIST, ISO 27001 en AVG.   

Omdat CBOM een dieper inzicht biedt in onze cryptografische activa, zou het ook helpen bij het plannen van de migratie van bestaande algoritmen zoals RSA, DSA, ECDSAen ECDH naar de Post Quantum Cryptography (PQC) algoritmen zoals ML-KEM, ML-DSA, SLH-DSA.   

Belangrijke overwegingen bij de implementatie van CBOM in uw organisatie

Laten we eens kijken naar enkele belangrijke overwegingen bij de implementatie van CBOM in uw organisatie.

  1. Het ontdekken van de cryptografische entiteiten

    Een van de belangrijke aspecten bij het maken van uw CBOM-inventaris is het identificeren van verschillende cryptografische entiteiten binnen uw systeem, zoals toepassingen van derden (database, configuratiebeheer en automatiseringshulpmiddelen), broncode, gegevens in rust (configuratiebestanden, digitale certificaten, wachtwoorden en sleutels), gegevens in beweging (SSL / TLS protocollen en VPN-configuraties) en hardware (HSM's en IoT-apparaten).

  2. Het maken en onderhouden van de CBOM-inventaris

    Een ander aspect om te overwegen is het bepalen wanneer de inventarisatie moet worden gegenereerd tijdens de verschillende fasen van de ontwikkeling en implementatie van een systeem. Elke fase kan een eigen inventarisatie genereren die de inventarisatie uit eerdere fasen aanvult en de link legt tussen de fase waarin een inventarisatiecomponent is geïntroduceerd, waardoor analyse en herstel van eventuele kwetsbaarheden wordt vergemakkelijkt. Bovendien zullen verschillende stakeholders binnen de organisaties verschillende eisen stellen aan de scope van de inventarisatie. Zo zal het productontwikkelingsteam geïnteresseerd zijn in de cryptografische inventarisatie met betrekking tot broncode, softwareafhankelijkheden en applicatieconfiguratie, terwijl het IT-operationele team mogelijk geïnteresseerd is in een grotere inventarisatie met betrekking tot software. PKI, SaaS, netwerk, data en hardware.

  3. Audit en beoordeling van de CBOM-inventaris

    Regelmatige audits en herzieningen van de CBOM zijn cruciaal om ervoor te zorgen dat de cryptografische entiteiten voldoen aan de nieuwste veiligheidsnormen en om dreigende kwetsbaarheden te verhelpen, bijvoorbeeld door kwetsbare sleutelgroottes en algoritmen te vervangen, en certificaten intrekken, Etc.

PQC Adviesdiensten

Bereik post-quantum paraatheid met een door experts geleide cryptografische beoordeling, migratiestrategie en praktische implementatie conform de NIST-normen.

Meer informatie

Hoe kan Encryption Consulting u helpen?  

De PQC-beoordelingsservice van Encryption Consulting kan uw organisatie helpen door een gedetailleerde beoordeling uit te voeren van uw on-premises, cloud- en SaaS-omgevingen, kwetsbaarheden te identificeren en de beste strategieën aan te bevelen om de kwantumrisico's te beperken.  

Onze PQC-beoordelingsservice omvat een gedetailleerde risico-evaluatie van uw huidige cryptografische omgeving, het ontwikkelen van een strategie en een stappenplan om de geïdentificeerde risico's te beperken en de implementatie van vereiste technologieën en oplossingen om een ​​resistente omgeving te creëren.  

Voor meer informatie over onze producten en diensten kunt u terecht op Post-kwantum cryptografische diensten.

Conclusie

Het vaststellen, identificeren en beheren van de software van uw organisatie en de bijbehorende cryptografische activa met behulp van respectievelijk SBOM en CBOM is de sleutel tot het beschermen en beperken van de risico's die verband houden met softwarekwetsbaarheden en cryptografische aanvallen. 

Ontdek onze

Gerelateerde blogs

PQC-ondersteuning in webbrowsers

Ondersteuning voor post-kwantumcryptografie in webbrowsers

31 maart 2026
Vertrouw nu, smeed later.

Jouw gids om Trust Now Forge Later-aanval te begrijpen

9 maart 2026
PQC-migratie

PQC-migratie doorlopen om uw cryptografie te beschermen

3 maart 2026

Bestudeer

Meer onderwerpen