Risicobeheer van de softwaretoeleveringsketen voor defensie: SCRM-kaders, SBOM's en leveranciersbeoordeling

Door Corvus Intelligence Engineering Team · Over het team →

25 juni 2026 12 min lezen

Het SolarWinds-lek van 2020 was een keerpunt voor de beveiliging van softwaretoeleveringsketens. Aanvallers — later toegeschreven aan een natiestaat — voegden kwaadaardige code in het bouwproces van SolarWinds Orion in, een netwerkbeheerplatform dat door duizenden organisaties werd gebruikt, waaronder meerdere Amerikaanse federale instanties en defensieaannemers. De gecompromitteerde software-update werd via officiële kanalen geleverd, ondertekend met een legitiem code-ondertekeningscertificaat van SolarWinds en was voor elk geautomatiseerd beveiligingssysteem niet te onderscheiden van een gewone update. Achttienduizend organisaties installeerden de achterdeur. De inbraak bleef maandenlang onopgemerkt.

Voor defensieorganisaties vertegenwoordigt deze aanvalsklasse — het vijandige implantaat in de toeleveringsketen — een fundamenteel ander bedreigingsmodel dan een perimeteraanval of phishing. De tegenstander hoeft de doelorganisatie niet rechtstreeks te compromitteren. In plaats daarvan compromitteert hij een vertrouwde externe leverancier, injecteert hij kwaadaardige functionaliteit in een softwareproduct en wacht hij tot het doelwit een update installeert via zijn eigen normale operationele processen. De verdedigingsmaatregelen van het doelwit zijn irrelevant voor de initiële compromittering, omdat de aanval aankomt als vertrouwde software van een vertrouwde bron.

Cyber Supply Chain Risk Management (C-SCRM) is de discipline die deze bedreigingsklasse aanpakt. Dit artikel behandelt het NIST SP 800-161 Rev. 1-kader dat defensieafnemers geacht worden te implementeren, zichtbaarheid van componenten op basis van SBOM als technische basis, praktijken voor leveranciersbeoordeling, risico's van open source-componenten, contractuele DFARS-vereisten en de architectuur voor continue monitoring die gecompromitteerde afhankelijkheden na inzet detecteert.

Waarom risico in de softwaretoeleveringsketen uniek is voor defensie

Defensieorganisaties gebruiken software uit twee brede categorieën: commercieel verkrijgbare (COTS) producten van commerciële leveranciers en maatsoftware ontwikkeld door defensieaannemers onder programmaspecifieke contracten. Beide categorieën dragen risico's van de toeleveringsketen, maar de risicoprofielen verschillen aanzienlijk.

COTS- en open source-risico is het probleem met het grootste aanvalsoppervlak. Een modern defensiesysteem kan tientallen COTS-softwarecomponenten bevatten — netwerkbeheertools, databases, besturingssysteemcomponenten, containerisatieplatforms en communicatiebibliotheken. Elk van deze producten is zelf opgebouwd uit duizenden open source-componenten met hun eigen onderhoudergemeenschappen, afhankelijkheidsketens en potentieel voor compromittering. De XZ Utils-achterdeur (CVE-2024-3094), ontdekt in maart 2024, illustreerde dit risico: een kwaadaardige bijdrager besteedde ongeveer twee jaar aan het opbouwen van vertrouwen in het XZ Utils-project voordat hij een achterdeur in het bouwproces invoegde. XZ Utils biedt verliesvrije datacompressie en is aanwezig in vrijwel elke Linux-distributie — inclusief de besturingssysteemstacks in veel defensie-inzettingen.

Implantaten in toeleveringsketens door natiestaten verschillen van opportunistische aanvallen in hun geduld, operationele beveiliging en doelgerichtheid. De SolarWinds-aanvallers compromitteerden niet elk klant die de achterdeur installeerde — ze activeerden het implantaat selectief alleen tegen doelwitten met een hoge waarde. Deze selectieve activering is specifiek ontworpen om het detectierisico te verminderen: als de achterdeur wijdverspreide operationele problemen veroorzaakt, wordt ze gedetecteerd en toegeschreven. Natiestaten beschikken over de middelen en motivatie om maanden te besteden aan het compromitteren van een softwaretoeleveringsketen voor toegang tot een specifieke categorie doelwitten — en defensieorganisaties behoren consequent tot de meest waardevolle doelwitten.

Ontwikkeling van geclassificeerde systemen introduceert aanvullende risico's op het niveau van de bouwpijplijn. De bouwinfrastructuur, broncode-opslagplaatsen, code-ondertekeningsinfrastructuur en artefactdistributiesystemen voor geclassificeerde programma's zijn zelf doelwitten. Een compromittering van de bouwpijplijn — zelfs voor volledig intern ontwikkelde software — kan kwaadaardige wijzigingen introduceren tussen de commit van de ontwikkelaar en het geïnstalleerde artefact. Dit is waarom SBOM-handhaving in defensiepijplijnen steeds vaker attestaties van bouwherkomst (SLSA Build Levels) omvat die een binair artefact cryptografisch koppelen aan de specifieke broncommit en bouwomgeving die het heeft geproduceerd.

De combinatie van deze factoren betekent dat defensie C-SCRM drie afzonderlijke aanvalsoppervlakken moet aanpakken: het product van de leverancier en zijn upstream-afhankelijkheden, de ontwikkelingspijplijn voor intern en door aannemers ontwikkelde software, en de update-/distributiekanalen waarmee software geïnstalleerde systemen bereikt.

NIST SP 800-161 Rev. 1 C-SCRM-kader

NIST Special Publication 800-161 Revision 1 (mei 2022), "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations," is het primaire kader voor C-SCRM in Amerikaanse federale en defensiecontexten. Het biedt een vierlaags model dat risicobeheer van de toeleveringsketen integreert met de bredere risicobeheerhiërarchie van een organisatie.

Laag 1 — Organisatieniveau: Senior leiderschap stelt C-SCRM-beleid vast, wijst bestuurlijke verantwoordelijkheid toe (een C-SCRM PMO of aangewezen risicouitvoerder), definieert drempelwaarden voor risicobereidheid en wijst middelen toe. Op dit niveau beantwoordt de organisatie strategische vragen: welke categorieën software en leveranciers vallen binnen het C-SCRM-bereik? Wat is de risicotolerantie van de organisatie voor bekende kwetsbare componenten in geïnstalleerde systemen? Wat is het escalatiepad wanneer een kritieke compromittering van de toeleveringsketen wordt ontdekt? Zonder beleid op Laag 1 ontbreken autorisatie en bestuur voor C-SCRM-activiteiten op lagere lagen.

Laag 2 — Missie-/bedrijfsprocesniveau: Programmamanagers en aanbestedingsfunctionarissen integreren C-SCRM-vereisten in aanbestedingsinstrumenten, contractsjablonen en programmaplannen. Op dit niveau worden C-SCRM-vereisten vertaald naar specifieke aanbestedingseisen: SBOM-leveringsverplichtingen, CMMC-niveauvereisten, normen voor attestatie van herkomst en tijdlijnen voor incidentmelding. Dit is waar C-SCRM-beleid contractueel afdwingbaar wordt.

Laag 3 — Informatiesysteemniveau: Systeemeigenaren en informatiebeveiligingsfunctionarissen (ISSO's) passen C-SCRM-beheersmaatregelen toe tijdens systeemontwerp, ontwikkeling, integratie en beheer en onderhoud (O&M). Op dit niveau omvatten C-SCRM-activiteiten componentinventarisatie (SBOM-analyse), risicoscoring van leveranciers, kwetsbaarheidsopvolging voor geïnstalleerde componenten en leveranciersmonitoring. Het Systeembeveiligingsplan (SSP) moet een C-SCRM-sectie bevatten waarin de geïmplementeerde beheersmaatregelen en hun huidige status worden gedocumenteerd.

Laag 4 — Leveranciersniveau: Aannemers en sub-tier-leveranciers implementeren de C-SCRM-vereisten die via contracten aan hen zijn doorgegeven. Dit omvat hun eigen SBOM-generatie voor geleverde software, verplichtingen voor incidentmelding, CMMC-nalevingsvereisten en beheer van sub-tier-leveranciers. Laag 4 is waar de rubber de weg raakt — de kwaliteit van C-SCRM-implementatie op leveranciersniveau bepaalt rechtstreeks de risicoblootstelling van de aanbestedende organisatie.

NIST 800-161 Rev. 1 koppelt C-SCRM-praktijken aan de vijf NIST Cybersecurity Framework (CSF)-functies — Identificeer, Bescherm, Detecteer, Reageer, Herstel — en biedt zo een brug tussen C-SCRM en de bredere cyberbeveiligingsprogramma's die de meeste defensieorganisaties al onderhouden. Belangrijke praktijken voor defensieafnemers bij de Identificeer-functie zijn: onderhoud van leveranciersinventaris, kritikaliteitsanalyse van verworven software en diensten en risicobeoordeling van de toeleveringsketen. Bij de Bescherm-functie: SBOM-vereisten, vereisten voor attestatie van herkomst en beheer van goedgekeurde leverancierslijsten. Bij Detecteer: continue monitoring van de beveiligingshouding van leveranciers, abonnementen op kwetsbaarheidsfeeds en SBOM-gebaseerde componentmonitoring.

SBOM als zichtbaarheidsinstrument voor de toeleveringsketen

Een Software Bill of Materials (SBOM) is een machineleesbare inventaris van alle componenten in een softwareartefact — directe afhankelijkheden, transitieve afhankelijkheden, bouw-tijdtools en basisimagelagen voor containerworkloads. In een C-SCRM-context beantwoordt de SBOM de fundamentele vraag over zichtbaarheid in de toeleveringsketen: wat zit er precies in dit softwareproduct en zijn er componenten waarvan bekend is dat ze kwetsbaar of gecompromitteerd zijn?

SBOM's genereren met Syft en Trivy: Twee open source-tools domineren SBOM-generatie voor defensiepijplijnen. Syft (van Anchore) genereert CycloneDX- en SPDX-SBOM's van containerimages, bestandssystemen en bronopslagplaatsen. Trivy (van Aqua Security) combineert SBOM-generatie met kwetsbaarheidsscanning in één tool. Beide tools ondersteunen air-gapped werking met lokaal gespiegelde kwetsbaarheidsdatabases — een kritieke vereiste voor geclassificeerde ontwikkelomgevingen.

# Genereer een CycloneDX SBOM van een containerimage met Syft

syft myapp:latest -o cyclonedx-json > sbom-myapp-v1.2.3.cdx.json

# Genereer een SPDX SBOM van een bronmap

syft dir:/path/to/source -o spdx-json > sbom-source-v1.2.3.spdx.json

# Trivy: gecombineerde SBOM-generatie en kwetsbaarheidscan

trivy image --format cyclonedx --output sbom.cdx.json myapp:latest

trivy sbom --severity HIGH,CRITICAL sbom.cdx.json

De keuze van het SBOM-formaat is van belang voor defensiecontexten. CycloneDX (momenteel versie 1.6) heeft brede toolingondersteuning en bevat velden voor componentherkomst, patchstatus en kwetsbaarheidsbevestiging — functies die belangrijk zijn voor documentatie van defensieprogramma's. SPDX (Software Package Data Exchange) is het door NIST aanbevolen formaat waarnaar wordt verwezen in de richtlijnen van EO 14028 en heeft sterkere adoptie in de open source-licentiecompliancegemeenschap. Veel defensieprogramma's onderhouden beide formaten vanuit dezelfde pijplijnfase, omdat verschillende downstream-consumenten (kwetsbaarheidscanners versus juridische/IP-reviewtools) mogelijk de voorkeur geven aan verschillende formaten.

SBOM-analyse voor bekende kwetsbare componenten: Zodra een SBOM is gegenereerd, wordt deze geanalyseerd tegen kwetsbaarheidsdatabases. De OSV (Open Source Vulnerabilities)-database aggregeert CVE's in alle grote taalecosystemen (PyPI, npm, Maven, Go, Rust, Ruby, enz.) en is beschikbaar als een lokaal spiegelbare JSON-database — belangrijk voor air-gapped omgevingen. NVD (National Vulnerability Database) biedt de gezaghebbende CVE-dataset met CVSS-scores. Grype (van Anchore) en osv-scanner (van Google) zijn de primaire SBOM-naar-kwetsbaarheidsdatabasescanners die in defensiepijplijnen worden gebruikt.

# Scan een CycloneDX SBOM met grype (uitvoer naar sarif voor SIEM-opname)

grype sbom:sbom-myapp-v1.2.3.cdx.json -o sarif > vuln-report.sarif

# Scan met osv-scanner tegen lokaal gespiegelde OSV-database

osv-scanner --config=osv-config.toml --sbom=sbom-myapp-v1.2.3.cdx.json

# Kruisverwijzing van bevindingen met CISA KEV (vereist jq)

curl -s https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json \

  | jq '.vulnerabilities[].cveID' > kev-ids.txt

grep -f kev-ids.txt vuln-report.sarif

Voor defensieprogramma's betekent SBOM-integratie met de DevSecOps voor defensiepijplijnen-toolchain dat SBOM-generatie en kwetsbaarheidsscanning automatisch worden uitgevoerd bij elke build. Bevindingen worden gepubliceerd naar een centraal beveiligingsdashboard en pijplijnpoorten wijzen builds af met KEV-genoteerde of CVSS 9.0+ componenten, tenzij er een goedgekeurd uitzonderingsticket bestaat. Het SBOM-artefact en de resultaten van de kwetsbaarheidscan worden ondertekend en naast het buildartefact opgeslagen als onderdeel van het leveringspakket.

Leveranciersbeoordeling voor defensiesoftware

SBOM-analyse vertelt u wat er in het product van een leverancier zit — maar niet of de ontwikkelomgeving, bouwpijplijn en distributie-infrastructuur van de leverancier zelf veilig zijn. Leveranciersbeoordeling vult deze lacune: het evalueert de beveiligingshouding van de leverancier, niet alleen de beveiliging van het artefact dat hij levert.

Ontwerp van beveiligingsvragenlijst afgestemd op NIST SP 800-171: Het primaire kader voor het beoordelen van de beveiliging van defensiesoftwareleveranciers is NIST SP 800-171, "Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations." Een leveranciersvragenlijst georganiseerd rond de 14 controlfamilies van NIST 800-171 biedt een gestructureerde, controleerbare beoordelingsaanpak. De 14 families zijn: Toegangscontrole, Bewustwording en Training, Audit en Verantwoording, Configuratiebeheer, Identificatie en Authenticatie, Incidentrespons, Onderhoud, Mediabescherming, Personeelsbeveiliging, Fysieke Bescherming, Risicobeoordeling, Beveiligingsbeoordeling, Systeem- en Communicatiebescherming, en Systeem- en Informatie-integriteit.

Voor elke controlfamilie moet de vragenlijst vragen:

Welke beheersmaatregelen zijn aanwezig? (documentair bewijs gevraagd)
Wat is de huidige SPRS-score en welke methodologie wordt gebruikt om deze te berekenen?
Zijn er openstaande Plan of Action and Milestones (POA&M)-items? Zo ja, wat is de beoogde sluitingsdatum?
Heeft de leverancier de afgelopen 24 maanden een beoordeling door een derde partij ondergaan? Zo ja, door wie en volgens welke norm?
Wat is het proces van de leverancier voor het beheren van de beveiliging van sub-tier-leveranciers?

CMMC-niveauvereisten: Onder het Cybersecurity Maturity Model Certification (CMMC)-kader zijn defensiesoftwareleveranciers die Controlled Unclassified Information (CUI) verwerken verplicht om minimaal CMMC Niveau 2 te behalen, wat alle 110 NIST SP 800-171-vereisten en beoordeling door een derde partij via een CMMC Third Party Assessment Organization (C3PAO) vereist. Afnemers dienen de CMMC-certificeringsstatus van leveranciers te verifiëren via de CMMC AB-marktplaats vóór contracttoewijzing en hercertificering te vereisen als het certificaat van de leverancier de vervaldatum nadert. Voor programma's met gevoelige aanbestedingsprogramma's of programma's die worden geconfronteerd met geavanceerde persistente dreigingsactoren kan CMMC Niveau 3 (dat NIST SP 800-172-vereisten toevoegt) passend zijn.

Vereisten voor beoordeling door derden gaan verder dan CMMC. Penetratietests van de ontwikkelomgeving van de leverancier (specifiek de bouwpijplijn en artefactdistributie-infrastructuur) moeten een periodieke vereiste zijn voor leveranciers die software leveren aan hoogwaardige defensieprogramma's. Broncodeherziening voor kritieke componenten — door het beveiligingsteam van de afnemende organisatie of door een onafhankelijke derde partij — biedt zekerheid die verder gaat dan wat geautomatiseerde scanning kan detecteren.

Risicobeheer van open source-componenten

Open source-softwarecomponenten hebben een afzonderlijk risicoprofiel in vergelijking met commerciële leveranciers. Er is geen leverancier om te beoordelen, geen contract om beveiligingsvereisten via af te dwingen en vaak geen formele bestuursstructuur om verantwoordelijk voor te houden. Toch is moderne defensiesoftware grotendeels gebouwd op open source-fundamenten — besturingssystemen, containerisatieplatforms, cryptografische bibliotheken, communicatieprotocollen en applicatieframeworks zijn overwegend open source.

GPL-licentienaleving — risico van copyleft-besmetting: De GNU General Public License (GPL) is een copyleft-licentie die vereist dat afgeleide werken worden gedistribueerd onder dezelfde licentie, inclusief het beschikbaar stellen van broncode. Voor defensiesoftware met eigen algoritmen of geclassificeerde componenten kan het per ongeluk opnemen van GPL-gelicentieerde code verplichtingen activeren om broncode te publiceren die niet openbaar mag zijn. De LGPL (Lesser GPL) wordt alleen geactiveerd wanneer de bibliotheek statisch is gelinkt; de AGPL (Affero GPL) wordt zelfs geactiveerd voor software die via een netwerk wordt gebruikt zonder distributie. Een licentiecompliancescanner — FOSSA (commercieel), Black Duck (commercieel) of de open source REUSE-tooling — moet elk component in de SBOM analyseren vóór elke levering, met een gedefinieerd beleid voor elk licentietype: toegestaan, toegestaan met voorwaarden (LGPL met alleen dynamisch koppelen) of verboden (GPL in uitvoerbare context).

Risicobeoordeling van onderhouders is de menselijke dimensie van OSS-risico. De XZ Utils-achterdeur werd uitgevoerd door een kwaadaardige bijdrager die ongeveer twee jaar besteedde aan het opbouwen van reputatie en commitgeschiedenis in het project voordat hij de achterdeur invoegde. Beoordeling van het risico van onderhouders omvat het onderzoeken van:

Het aantal actieve onderhouders en de busfactor (wat gebeurt er als de ene primaire onderhouder niet beschikbaar is of wordt gecompromitteerd?)
De geografische spreiding en organisatorische aansluiting van sleutelbijdragers — zijn significante bijdragers verbonden aan organisaties in landen die zorgen baren op het gebied van dreiging vanuit de toeleveringsketen?
De release- en ondertekeningspraktijken van het project — worden releases ondertekend? Wordt de ondertekeningssleutel door één persoon gehouden of gedistribueerd?
De reactie van het project op eerdere beveiligingsproblemen — hoe snel werden CVE's aangepakt? Was de gemeenschap responsief?
De OpenSSF Scorecard-score — een geautomatiseerde gezondheidsmetriek van de gemeenschap die bescherming van branches, CI/CD-beveiligingspraktijken, pinning van afhankelijkheden en andere indicatoren dekt

Forkstrategie voor kritieke OSS-componenten: Voor componenten die zowel kritiek zijn voor de functie van het systeem als een verhoogd risico van onderhouders vertonen, biedt een forkstrategie controle ten koste van onderhoudsoverhead. De organisatie onderhoudt een intern fork van het component in haar eigen artefactregistry. Updates van het upstream-project worden door het beveiligingsteam van de organisatie beoordeeld voordat ze worden opgenomen. Als het upstream-project een kwaadaardige update publiceert, is de fork van de organisatie beschermd — de kwaadaardige versie bereikt de artefactregistry nooit. De forkstrategie is geschikt voor een kleine set werkelijk kritieke componenten (cryptografische bibliotheken, authenticatiemodules, implementaties van kernprotocollen) — universele toepassing zou onbeheersbare onderhoudsschuld creëren.

Contractuele SCRM-vereisten en DFARS-clausules

C-SCRM-vereisten worden juridisch afdwingbaar via contractclausules. Defensieaanbestedingen maken gebruik van een combinatie van verplichte DFARS-clausules en programmaspecifieke SCRM-vereisten die in contractvoorwaarden zijn onderhandeld.

DFARS 252.204-7012 (Safeguarding Covered Defense Information and Cyber Incident Reporting) is de fundamentele clausule voor cyberbeveiliging van defensieaannemers. De verplichtingen omvatten: adequate beveiliging (implementeer NIST SP 800-171 op alle systemen die Covered Defense Information verwerken, opslaan of verzenden), snelle melding van cyberincidenten aan het DoD binnen 72 uur na ontdekking, bewaring van images van gecompromitteerde systemen gedurende 90 dagen voor mogelijke forensisch onderzoek door het DoD en indiening van malware wanneer kwaadaardige software wordt ontdekt in verband met een gemeld incident. Voor C-SCRM-doeleinden is de 72-uur meldingsvereiste de meest operationeel veeleisende: aannemers moeten beschikken over detectie-, onderzoeks- en rapportagemogelijkheden die van begin tot eind binnen dit venster kunnen werken, inclusief incidenten in de toeleveringsketen (een gecompromitteerd leveranciersproduct dat wordt gebruikt in de ontwikkelomgeving van de aannemer).

Clausules voor attestatie van softwareherkomst — steeds vaker ingevoegd in defensiesoftwarecontracten sinds EO 14028 — vereisen dat aannemers ondertekende attestaties leveren dat hun software is geproduceerd in overeenstemming met gedefinieerde veilige ontwikkelingspraktijken. De OMB M-22-18- en M-23-16-memoranda definiëren de minimumvereisten voor attestatie van veilige softwareontwikkeling voor federale softwareaanbestedingen. Deze attestaties verwijzen naar het NIST Secure Software Development Framework (SSDF) en vereisen specifieke praktijken: bescherming van de bouwomgeving, genereren van SBOM's, scannen op kwetsbaarheden vóór levering en handhaven van bewijs van beveiligingsbeoordeling. Aannemers dienen SLSA Build Level 2- of Level 3-herkomstattestaties te gebruiken om cryptografisch bewijs te leveren dat het geleverde binaire bestand koppelt aan de specifieke broncommit en bouwomgeving.

Doorstroomvereisten naar onderaannemers: De C-SCRM-verplichtingen van de hoofdaannemer eindigen niet bij de grenzen van hun organisatie. Elke onderaannemer die Covered Defense Information verwerkt of softwarecomponenten levert die zijn opgenomen in het geleverde systeem, moet gelijkwaardige vereisten ontvangen via contractuele doorstroming. Dit omvat DFARS 252.204-7012 (verplicht waar van toepassing), SBOM-leveringsverplichtingen, CMMC-niveauvereisten op of gelijkwaardig aan het vereiste niveau van de hoofdaannemer, en meldingsverplichtingen aan de hoofdaannemer binnen een gedefinieerde periode (doorgaans 24-48 uur) wanneer de onderaannemer een inbreuk lijdt. Hoofdaannemers zijn contractueel verantwoordelijk voor het verifiëren van de naleving door onderaannemers — "mijn onderaannemer was gecompromitteerd en ik wist het niet" is geen aanvaardbare verklaring aan de overheidsklant.

Beperkingen op landen van oorsprong voegen een extra laag toe: NDAA Section 889 verbiedt het gebruik van bepaalde telecommunicatie- en videobewakingsapparatuur van aangewezen fabrikanten in Amerikaanse overheidsprogramma's, en latere NDAA-bepalingen hebben beperkingen uitgebreid naar softwarecomponenten. Contractsjablonen moeten expliciete verboden op land van oorsprong bevatten die zijn afgestemd op de huidige NDAA-beperkingslijst, en SBOM-analyse moet componenten markeren waarvan de bekende oorsprong of aansluiting van onderhouders zorgen kan wekken.

Continue SCRM-monitoring

Statische SCRM-beoordeling — het uitvoeren van een leveranciersbeoordeling en SBOM-scan bij contracttoewijzing en het vervolgens archiveren van de resultaten — biedt een momentopname van het risico die al verouderd is de dag na de beoordeling. Continue SCRM-monitoring handhaaft een continu risicobeeld door in te schrijven op kwetsbaarheidsintelligentefeeds en nieuwe informatie automatisch te correleren met de geïnstalleerde componenteninventaris.

Feeds voor kwetsbaarheidswaarschuwingen: De twee primaire feeds voor continue monitoring zijn CISA KEV en NVD. De CISA Known Exploited Vulnerabilities (KEV)-catalogus wordt continu bijgewerkt en bevat CVE's waarvan is bevestigd dat ze actief zijn uitgebuit — dit zijn de hoogst prioritaire hersteldoelen ongeacht de CVSS-score, omdat het geen theoretische risico's zijn maar bevestigde aanvalstechnieken. De NVD biedt de uitgebreide CVE-dataset met CVSS v3.1- en v4.0-scores. Beide zijn beschikbaar als machineleesbare JSON-feeds die geschikt zijn voor geautomatiseerde opname.

Voor containerworkloads omvatten beveiligingspraktijken voor containerimages in defensie opnieuw scannen op registerniveau: wanneer een nieuwe kwetsbaarheid wordt gepubliceerd die van invloed is op een versie van een OS-pakket die aanwezig is in opgeslagen images, scant het register (Harbor, bijvoorbeeld) automatisch getroffen images opnieuw en markeert ze als niet-conform het kwetsbaarheidsbeleid. Dit activeert een melding aan het verantwoordelijke team zonder enige handmatige actie te vereisen.

Geautomatiseerd opnieuw scannen van componenten bij nieuwe CVE's: De automatiseringsarchitectuur voor continue SCRM-monitoring integreert drie gegevensstromen: (1) de SBOM-inventaris (alle componenten in alle geïnstalleerde systemen), (2) inkomende CVE/KEV-informatie en (3) het systeem voor hersteltickets. Wanneer een nieuwe CVE wordt gepubliceerd, vraagt een geautomatiseerd proces de SBOM-inventaris op voor een geïnstalleerde component die overeenkomt met het getroffen pakket en versiebereik. Als er een overeenkomst wordt gevonden, wordt automatisch een herstelticket aangemaakt met prioriteit afgeleid uit de informatiefeed (KEV-overeenkomst = P0 onmiddellijk, CVSS 9.0+ = P1 volgende werkdag, CVSS 7.0-8.9 = P2 sprintticket). Dit elimineert de handmatige triagefase die het herstellen van kwetsbaarheden doorgaans vertraagt in organisaties die vertrouwen op periodieke scancycli.

# Continue monitoring pseudocode — query SBOM-inventaris tegen nieuwe KEV-invoer

NEW_KEV_ID="CVE-2024-XXXXX"

SBOM_STORE="/opt/sbom-archive"  # lokale map van alle product-SBOM's

# Scan alle gearchiveerde SBOM's voor de getroffen CVE

for sbom in "$SBOM_STORE"/*.cdx.json; do

  PRODUCT=$(basename "$sbom" .cdx.json)

  MATCH=$(grype sbom:"$sbom" --only-fixed=false -q | grep "$NEW_KEV_ID")

  if [ -n "$MATCH" ]; then

    echo "KEV OVEREENKOMST: $PRODUCT bevat $NEW_KEV_ID — escaleer onmiddellijk"

    # trigger-remediation-ticket --product "$PRODUCT" --cve "$NEW_KEV_ID" --priority P0

  fi

done

Incidentrespons voor gecompromitteerde afhankelijkheden: Wanneer een afhankelijkheid wordt ontdekt als gecompromitteerd — niet alleen kwetsbaar maar actief van een achterdeur voorzien, zoals in het geval van XZ Utils — verschilt het responsproces van een CVE-herstel. De belangrijkste stappen zijn:

Onmiddellijk bereik bepalen: Query de SBOM-inventaris om elke inzetting te inventariseren die de getroffen componentversie bevat. Dit moet minuten duren, niet dagen — trage bereikbepaling is een falen van het C-SCRM-programma.
Exploiteerbaarheid beoordelen: Bepaal of de kwaadaardige code daadwerkelijk werd uitgevoerd in de inzetcontext. XZ Utils werd bijvoorbeeld alleen uitgebuit wanneer geladen door een specifieke versie van systemd — systemen zonder die configuratie werden niet getroffen, zelfs als ze het kwaadaardige pakket hadden geïnstalleerd.
Binnen 72 uur melden: DFARS 252.204-7012 vereist melding aan het DoD binnen 72 uur. Klantmelding moet tegelijkertijd plaatsvinden — niet nadat het interne onderzoek is voltooid.
Herstellen en verifiëren: Bijwerken naar een schone versie of de forkstrategie activeren. Integriteitsverificatie uitvoeren van systeemartefacten die mogelijk zijn geproduceerd met het gecompromitteerde component.
Evaluatie na het incident: Identificeer welke C-SCRM-beheermaatregel de compromittering eerder had moeten detecteren — onvoldoende SBOM-dekking, ontbrekende risicobeoordeling van onderhouders, afwezigheid van een forkstrategie voor een kritiek component — en werk het programma dienovereenkomstig bij.

Indicatie van programmavolwassenheid: Een volwassen C-SCRM-programma kan op elk moment binnen een uur drie vragen beantwoorden: (1) welke versie van een genoemde component is geïnstalleerd in elk productiesysteem? (2) wanneer een nieuwe CVE wordt gepubliceerd voor dat component, welke systemen zijn dan getroffen? (3) wie is de verantwoordelijke eigenaar voor elk getroffen systeem? Programma's die deze vragen niet snel kunnen beantwoorden, opereren met risico's in de toeleveringsketen die ze niet kunnen kwantificeren of beheren — een positie die steeds moeilijker te rechtvaardigen is gezien de huidige verwachtingen van het DoD en geallieerde partners.

De organisatorische dimensie van continue SCRM-monitoring is even belangrijk als de technische. Iemand moet eigenaar zijn van het monitoringproces, beschikbaar zijn voor P0-meldingen en de bevoegdheid hebben om een systeem offline te halen of een noodpatchcyclus te initiëren wanneer een KEV-overeenkomst of gecompromitteerde afhankelijkheid wordt ontdekt. C-SCRM-verantwoordelijkheid die is verdeeld over meerdere teams zonder één aansprakelijke eigenaar levert consequent vertraagde reacties op — precies het faalmechanisme waarop tegenstanders rekenen.

Bespreek uw project

Wij implementeren C-SCRM-programma's voor defensiesoftwareaannemers — van SBOM-pijplijnintegratie tot kaders voor leveranciersbeoordeling en architectuur voor continue monitoring afgestemd op NIST SP 800-161 en DFARS-vereisten.

Cyberbeveiligingsdiensten → Ontwikkelingsdiensten

Deze analyse is opgesteld door Corvus Intelligence-engineers die missiekritieke software bouwen voor defensie- en overheidsorganisaties. Meer over ons team →

Veelgestelde vragen

Wat is C-SCRM en waarom is het van belang voor defensie?

Cyber Supply Chain Risk Management (C-SCRM) is de discipline van het identificeren, beoordelen en beperken van risico's die via de softwaretoeleveringsketen worden geïntroduceerd — het netwerk van leveranciers, open source-componenten, bouwtools en distributiekanalen die bijdragen aan een eindproduct. Voor defensieorganisaties is C-SCRM kritiek omdat tegenstanders de bereidheid en het vermogen hebben aangetoond om commerciële softwareproducten te compromitteren voordat ze de klant bereiken. Het SolarWinds Orion-lek (2020) en de XZ Utils-achterdeur (2024) zijn canonieke voorbeelden. NIST SP 800-161 Rev. 1 (2022) is het gezaghebbende kader dat defensieafnemers geacht worden te implementeren.

Wat zijn de vier lagen van het NIST SP 800-161 C-SCRM-model?

NIST SP 800-161 Rev. 1 structureert C-SCRM over vier lagen die de bestuurshiërarchie van een organisatie weerspiegelen. Laag 1 is het organisatieniveau — senior leiderschap stelt C-SCRM-beleid, financiering en risicobereidheid vast. Laag 2 is het missie-/bedrijfsprocesniveau — programmamanagers integreren C-SCRM-vereisten in aanbestedingsplanning en contractinstrumenten. Laag 3 is het informatiesysteemniveau — systeemeigenaren passen C-SCRM-beheersmaatregelen toe tijdens ontwerp, ontwikkeling en O&M. Laag 4 is het leveranciersniveau — aannemers en sub-tier-leveranciers implementeren de doorstroomvereisten die via contracten aan hen zijn doorgegeven. Risico's geïdentificeerd op Laag 4 (een kwetsbare component van een onderaannemer) moeten terugstromen via Lagen 3 en 2 voor organisatorische besluitvorming.

Wat is een SBOM en hoe wordt het gebruikt voor risicobeheer van de toeleveringsketen?

Een Software Bill of Materials (SBOM) is een machineleesbare inventaris van alle componenten — directe en transitieve afhankelijkheden — in een softwareartefact. In een C-SCRM-context is de SBOM de basis voor zichtbaarheid in de toeleveringsketen: het vertelt u welke code van derden zich in een product bevindt dat u hebt geïnstalleerd of evalueert. Tools zoals Syft (Anchore) en Trivy (Aqua) genereren SBOM's in CycloneDX- of SPDX-formaat van containerimages of bronopslagplaatsen. De SBOM wordt vervolgens geanalyseerd tegen kwetsbaarheidsdatabases (OSV, NVD) en de CISA Known Exploited Vulnerabilities-catalogus om componenten te identificeren die onmiddellijk herstel vereisen. Zonder een SBOM is risicobeoordeling van de toeleveringsketen giswerk.

Wat houdt zelfverklaring van NIST SP 800-171 in voor defensieleveranciers?

NIST SP 800-171 definieert 110 beveiligingsvereisten over 14 controlfamilies voor de bescherming van Controlled Unclassified Information (CUI) in niet-federale systemen. Voordat het CMMC-programma beoordeling door derden vereiste voor hogere niveaus, konden leveranciers naleving zelf verklaren door de DoD Supplier Performance Risk System (SPRS)-score in te vullen. Zelfverklaring vereist dat de leverancier elk van de 110 vereisten beoordeelt, documenteert hoe aan de vereiste wordt voldaan (of plannen om dit te doen) en een score berekent op basis van de NIST SP 800-171A-beoordelingsmethodologie. Afnemers die zelfverklaringen ontvangen, moeten de gebruikte methodologie valideren en zoeken naar tekenen van geloofwaardige implementatie — POA&M-items met realistische sluitingsdatums, bewijs van CUI-identificatieoefeningen en consistente documentatie van beveiligingsbeleid.

Welk CMMC-niveau is vereist voor defensiesoftwareleveranciers?

Het Cybersecurity Maturity Model Certification (CMMC)-kader heeft drie niveaus. Niveau 1 (Fundamenteel) vereist 17 basisveiligheidsvereisten voor Federal Contract Information (FCI) — zelf beoordeeld. Niveau 2 (Geavanceerd) vereist alle 110 NIST SP 800-171-vereisten voor de verwerking van CUI — beoordeling door een derde partij (C3PAO) vereist voor programma's met CUI. Niveau 3 (Expert) voegt een subset van NIST SP 800-172-vereisten toe voor hoogwaardige programma's die geavanceerde persistente dreigingen het hoofd moeten bieden — beoordeeld door DCSA. De meeste defensiesoftwareleveranciers die CUI verwerken in hun ontwikkelomgevingen hebben minimaal CMMC Niveau 2 nodig. Afnemers moeten het vereiste CMMC-niveau specificeren in aanbestedingsdocumenten en de vereiste stroomt door naar onderaannemers die CUI verwerken.

Wat is het GPL-besmettingsrisico en waarom is het van belang voor defensiesoftware?

GPL-besmetting — nauwkeuriger copyleft-propagatie genoemd — treedt op wanneer GPL-gelicentieerde open source-code wordt opgenomen in een propriëtair softwareproduct op een manier die de distributievereisten van de GPL activeert. De GPL vereist dat wanneer u software distribueert die GPL-gelicentieerde code bevat, u ook de broncode van het gecombineerde werk onder de GPL distribueert. Voor een defensiesoftwareleverancier met eigen algoritmen of geclassificeerde componenten kan het per ongeluk activeren van GPL-verplichtingen vereisen dat broncode wordt gepubliceerd die niet openbaar mag zijn, contractuele IP-beschermingsclausules worden geschonden of de distributie wordt gestaakt. De LGPL en AGPL hebben verschillende activeringsvoorwaarden. Licentiecompliancescantools zoals FOSSA, Black Duck of de open source REUSE-tooling moeten elke afhankelijkheid in de SBOM scannen vóór elke softwarelevering.

Wat zijn de verplichtingen van DFARS 252.204-7012 voor defensiesoftwareaannemers?

DFARS 252.204-7012 (Safeguarding Covered Defense Information) is een verplichte clausule in de meeste DoD-contracten met betrekking tot Covered Defense Information (CDI) of operationeel kritieke ondersteuning. De primaire verplichtingen zijn: adequate beveiliging (implementeer NIST SP 800-171 op alle systemen die CDI verwerken), snelle melding van cyberincidenten aan het DoD binnen 72 uur na ontdekking, bewaring van images van gecompromitteerde systemen gedurende 90 dagen en indiening van kwaadaardige software ontdekt in verband met een gemeld incident. Het 72-uur meldingsvenster is operationeel veeleisend — aannemers moeten een incidentresponsplan hebben dat detectie, onderzoek en melding binnen dit venster mogelijk maakt. De clausule vereist ook melding aan het DoD als een onderaannemer een meldingsplichtig cyberincident ervaart.

Hoe draagt de CISA KEV-feed bij aan continue SCRM-monitoring?

De CISA Known Exploited Vulnerabilities (KEV)-catalogus is een samengestelde lijst van CVE's die actief zijn uitgebuit in het wild, met verplichte hersteltermijnen voor federale instanties (doorgaans 2 weken voor kritiek/hoog onder BOD 22-01). Voor defensieaannemers is KEV het hoogst-prioritaire kwetsbaarheidssignaal: een component in uw SBOM die voorkomt in KEV wordt actief uitgebuit en vereist onmiddellijke actie, ongeacht de CVSS-score. Geautomatiseerde SCRM-monitoringpijplijnen moeten zich abonneren op de KEV JSON-feed (dagelijks bijgewerkt) en elk SBOM-component daartegen kruisverwijzen. Wanneer een nieuwe KEV-invoer overeenkomt met een component in een geïnstalleerd product, ontvangt de dienstdoende beveiligingsingenieur een onmiddellijke melding en wordt automatisch een herstelticket aangemaakt.

Wat is een forkstrategie voor kritieke OSS-componenten?

Een forkstrategie voor kritieke open source-componenten betekent het onderhouden van een door de organisatie gecontroleerde kopie van een kritieke OSS-afhankelijkheid in plaats van deze rechtstreeks te gebruiken vanuit de upstream openbare registry. De fork wordt gehost in de interne artefactregistry van de organisatie (Nexus, Artifactory of een air-gapped equivalent). Wanneer het upstream-project een update publiceert, beoordeelt de organisatie de wijzigingen voordat ze worden opgenomen in de interne fork — een proces dat kwaadaardige updates opvangt voordat ze de productie bereiken. Dit is met name van belang voor componenten waarvan de onderhouders verminderde activiteit, onduidelijk bestuur of mogelijke blootstelling aan invloed van natiestaten hebben aangetoond. De afweging is onderhoudsoverhead: het team moet upstream beveiligingsoplossingen tijdig beoordelen en opnemen, anders raakt de fork achter en accumuleert zijn eigen kwetsbaarheidsschuld.

Wat zijn de belangrijkste contractuele SCRM-doorstroomvereisten voor onderaannemers?

Wanneer een hoofdaannemer een DoD-contract ontvangt met C-SCRM-vereisten, moeten die vereisten doorstromen naar onderaannemers die gedekte informatie verwerken of softwarecomponenten leveren. Belangrijke doorstroomvereisten zijn: DFARS 252.204-7012 (cyberincidentmelding, adequate beveiliging — verplicht wanneer de onderaannemer CDI verwerkt), CMMC-niveauvereiste op of gelijkwaardig aan het vereiste niveau van de hoofdaannemer, SBOM-leveringsverplichting voor elk geleverd softwarecomponent, attestatie van softwareherkomst (SLSA Build Level 2 of gelijkwaardig), verbod op bepaalde software en hardware van bepaald land van oorsprong (conform NDAA Section 889 en aanverwante beperkingen), en meldingsverplichting aan de hoofdaannemer binnen een gedefinieerde periode als de onderaannemer een inbreuk lijdt. Hoofdaannemers zijn verantwoordelijk voor het verifiëren van de naleving door onderaannemers — CMMC-certificaten van onderaannemers moeten worden gevalideerd via de CMMC AB-marktplaats.