Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Blog
    2. Dataskydd

Kryptografisk materiallista (CBOM): Nyckeln till att säkra din programvaruleveranskedja

Postat avAmit Rastogi 05 minuter
CBOM-banner
Innehållsförteckning

Attacker i leveranskedjorna är mångfacetterade och drabbar både företag och myndigheter. Med kommersiella programvaruprodukter och programvara med öppen källkod som används av hackare som potentiella mål för dessa attacker är det viktigt för din organisation att ha en tydlig inblick i den programvara och de kryptografiska tillgångar som används i dina programvaruutvecklings- och distributionsrör för att skydda och mildra dessa attacker.   

I 2020, den SolarWinds leveranskedjeangrepp påverkade inte bara tusentals organisationer utan även den amerikanska regeringen. Hackare injicerade en bakdörr, kallad SUNBURST, i Orions IT-uppdateringsverktyg.  

I februari 2021 lyckades säkerhetsforskaren Alex Birsan bryta sig in i Microsoft, Tesla, Uber och Apple med hjälp av beroendeförvirring genom att köra skadlig kod på deras nätverk genom att åsidosätta programvarupaket som kallas "beroenden" med skadliga paket med samma namn.  

För att förbättra säkerheten mot sådana attacker utfärdade den amerikanska regeringen år 2021 en exekutiv order som krävde att programvaruleverantörer tillhandahöll en programvaruförteckning (SBOM). SBOM är en omfattande lista över alla moduler, bibliotek och tredjepartsberoenden samt metadatainformation såsom licenser och versioner som är associerade med dina program, vilket gör att du snabbt kan identifiera och uppdatera de komponenter som påverkas av en attack i leveranskedjan.  

Dessutom har The National Institute of Standards (NIST) har rekommenderat att SBOM utökas med en kryptografisk materiallista (CBOM) som en del av sina riktlinjer för antagandet av postkvantkryptografi (PQC). 

Vad är en kryptografisk materialförteckning (CBOM)?  

En CBOM ger en detaljerad inblick i de olika kryptografiska tillgångar som är kopplade till ditt SBOM-inventarium. Medan ditt SBOM-inventarium vanligtvis inkluderar operativsystem, webbserver/applikationsserver, SSL/TLS-bibliotek (OpenSSL), konfigurations-, övervaknings- och logghanteringsverktyg tillsammans med deras metadatainformation, utökar ditt CBOM-inventarium ditt SBOM-inventarium med detaljer som X.509 certifikat, SSH-nycklar och deras storlekar, kryptografiska algoritmer för publika nycklar som RSA, ECDSA och andra, hashalgoritmer som SHA1, SHA2, etc. och all ytterligare metadatainformation såsom licens och eventuella kända sårbarheter.   

CBOM

Få fullständig insyn med kontinuerlig kryptografisk identifiering, automatiserad inventering och datadriven PQC-sanering.

Boka en demo

Hur skulle CBOM bidra till att förbättra er säkerhetsställning?  

CBOM ger din organisation en detaljerad inblick i de kryptografiska tillgångarna relaterade till de olika kommersiella och öppna källkodsprogramvarorna som används i din organisation, vilket hjälper till med hanteringen och övervakningen av din organisations kryptografiska fotavtryck. Detta bidrar ytterligare till att förbättra din organisations säkerhetsflexibilitet genom att vidta proaktiva åtgärder för att skydda mot olika attacker i leveranskedjan och möjliggöra snabbare svarstider för att reagera på och återhämta sig från sådana attacker genom att snabbt identifiera och uppdatera de berörda komponenterna. Utan en CBOM skulle däremot de operativa och ekonomiska konsekvenserna av alla säkerhetsintrång vara många. Att ha en uppdaterad CBOM-inventering skulle också hjälpa din organisation att anpassa sig till olika regelkrav som NIST, ISO 27001 och GDPR.   

Eftersom CBOM ger en djupare inblick i våra kryptografiska tillgångar skulle det också hjälpa till att planera migreringen från befintliga algoritmer som RSA, DSA, ECDSAoch ECDH till postkvantkryptografi (PQC)-algoritmer som ML-KEM, ML-DSA och SLH-DSA.   

Viktiga överväganden för att implementera CBOM i din organisation

Låt oss titta på några av de viktigaste övervägandena för att implementera CBOM i din organisation.

  1. Upptäcka de kryptografiska enheterna

    En av de viktiga aspekterna för att skapa ditt CBOM-inventering är att identifiera olika kryptografiska enheter i ditt system, såsom tredjepartsapplikationer (databas, konfigurationshanterings- och automatiseringsverktyg), källkod, data i vila (konfigurationsfiler, digitala certifikat, lösenord och nycklar), data i rörelse (SSL / TLS protokoll och VPN-konfigurationer) och hårdvara (HSM och IoT-enheter).

  2. Skapa och underhålla CBOM-inventeringen

    En annan aspekt att beakta är att avgöra när inventeringen ska genereras under de olika utvecklings- och driftsättningsstadierna av ett system. Varje steg kan generera sin egen inventering och utöka inventeringen från tidigare steg genom att fånga kopplingen mellan det steg där en inventeringskomponent introducerades, vilket underlättar analys och åtgärd av eventuella sårbarheter. Dessutom skulle olika intressenter i organisationerna ha olika krav på inventeringens omfattning. Till exempel skulle produktutvecklingsteamet vara intresserade av den kryptografiska inventeringen relaterad till källkod, programvaruberoenden och applikationskonfiguration, medan IT-driftsteamet kan vara intresserade av en större inventeringsomfattning relaterad till programvara. PKI, SaaS, nätverk, data och hårdvara.

  3. Revision och granskning av CBOM-inventeringen

    Regelbundna revisioner och granskningar av CBOM är avgörande för att säkerställa att de kryptografiska enheterna följer de senaste säkerhetsstandarderna och åtgärdar eventuella hotande sårbarheter, till exempel att ersätta sårbara nyckelstorlekar och algoritmer, förnya och återkalla certifikatEtc.

PQC-rådgivningstjänster

Få postkvantberedskap med expertledd kryptografisk bedömning, migreringsstrategi och praktisk implementering i linje med NIST-standarder.

Läs mer

Hur kan krypteringskonsulting hjälpa till?  

Encryption Consultings PQC-bedömningstjänst kan hjälpa er organisation genom att genomföra en detaljerad bedömning av era lokala, moln- och SaaS-miljöer, identifiera sårbarheter och rekommendera de bästa strategierna för att minska kvantriskerna.  

Vår PQC-bedömningstjänst omfattar en detaljerad riskbedömning av er nuvarande kryptografiska miljö, utveckling av strategi och färdplan för att minska de identifierade riskerna samt implementering av nödvändiga tekniker och lösningar för att uppnå en motståndskraftig miljö.  

För mer information om våra produkter och tjänster, besök Postkvantumkryptografiska tjänster.

Slutsats

Att sammanställa, identifiera och hantera din organisations programvara och tillhörande kryptografiska tillgångar med hjälp av SBOM respektive CBOM är nyckeln till att skydda och minska riskerna i samband med programvarusårbarheter och kryptografiska attacker. 

Upptäck vår

Relaterade bloggar

PQC-stöd-i-webbläsare

Stöd för postkvantkryptografi i webbläsare

Mars 31, 2026
Lita på nu, skapa senare

Din guide till att förstå Trust Now Forge Later-attacken

Mars 9, 2026
PQC-migrering

Navigera PQC-migrering för att skydda din kryptografi

Mars 3, 2026

Utforska

Fler ämnen