Managementul riscurilor în lanțul de aprovizionare software pentru apărare: cadre SCRM, SBOM și evaluarea furnizorilor

De Echipa de inginerie Corvus Intelligence · Despre echipă →

25 iunie 2026 12 min citit

Breșa SolarWinds din 2020 a reprezentat un moment de cotitură pentru securitatea lanțului de aprovizionare software. Atacatorii — atribuiți ulterior unui actor de stat — au inserat cod malițios în procesul de build al SolarWinds Orion, o platformă de management de rețea utilizată de mii de organizații, inclusiv multiple agenții federale americane și contractori de apărare. Actualizarea software compromisă a fost livrată prin canale oficiale, semnată cu certificatul legitim de semnare a codului al SolarWinds și indistinctă de o actualizare normală față de orice control de securitate automatizat. Optsprezece mii de organizații au instalat backdoor-ul. Intruziunea a rămas nedetectată luni de zile.

Pentru organizațiile de apărare, această clasă de atac — implantul adversarial în lanțul de aprovizionare — reprezintă un model de amenințare fundamental diferit față de atacul perimetral sau phishing. Adversarul nu trebuie să compromită direct organizația țintă. În schimb, compromite un furnizor terț de încredere, injectează funcționalitate malițioasă într-un produs software și așteaptă ca ținta să instaleze o actualizare prin propriile procese operaționale normale. Apărările țintei sunt irelevante pentru compromiterea inițială, deoarece atacul sosește ca software de încredere dintr-o sursă de încredere.

Managementul riscurilor cibernetice în lanțul de aprovizionare (C-SCRM) este disciplina care abordează această clasă de amenințări. Acest articol acoperă cadrul NIST SP 800-161 Rev. 1 pe care achizitorii din domeniul apărării trebuie să îl implementeze, vizibilitatea componentelor bazată pe SBOM ca fundament tehnic, practicile de evaluare a securității furnizorilor, riscul componentelor open source, cerințele contractuale DFARS și arhitectura de monitorizare continuă care detectează dependențe compromise după implementare.

De ce riscul lanțului de aprovizionare software este unic pentru apărare

Organizațiile de apărare utilizează software din două categorii largi: produse comerciale gata de utilizare (COTS) de la furnizori comerciali și software personalizat dezvoltat de contractori de apărare în baza unor contracte specifice programului. Ambele categorii prezintă risc în lanțul de aprovizionare, dar profilurile de risc diferă semnificativ.

Riscul COTS și open source reprezintă problema cu suprafața de atac cea mai mare. Un sistem de apărare modern poate include zeci de componente software COTS — instrumente de management de rețea, baze de date, componente ale sistemului de operare, platforme de containerizare și biblioteci de comunicație. Fiecare dintre aceste produse este construit la rândul său din mii de componente open source cu propriile comunități de întreținători, lanțuri de dependențe și potențial de compromitere. Backdoor-ul XZ Utils (CVE-2024-3094), descoperit în martie 2024, a ilustrat acest risc: un contributor malițios a petrecut aproximativ doi ani construindu-și reputația în proiectul XZ Utils înainte de a insera un backdoor în procesul de build. XZ Utils furnizează compresie fără pierderi de date și este prezent în practic orice distribuție Linux — inclusiv în stivele de sistem de operare din multe implementări de apărare.

Implanturile de stat în lanțul de aprovizionare diferă de atacurile oportuniste prin răbdare, securitate operațională și precizie de țintire. Atacatorii SolarWinds nu au compromis fiecare client care a instalat backdoor-ul — au activat selectiv implantul doar împotriva țintelor de înaltă valoare. Această activare selectivă este concepută special pentru a reduce riscul de detectare: dacă backdoor-ul provoacă probleme operaționale pe scară largă, este detectat și atribuit. Actorii de stat au resursele și motivația să petreacă luni compromițând un lanț de aprovizionare software pentru acces la o categorie specifică de ținte — iar organizațiile de apărare sunt în mod constant printre cele mai valoroase ținte.

Dezvoltarea sistemelor clasificate introduce riscuri suplimentare la nivelul pipeline-ului de dezvoltare. Infrastructura de build, depozitele de cod sursă, infrastructura de semnare a codului și sistemele de distribuție a artefactelor pentru programele clasificate sunt ele însele ținte. O compromitere a pipeline-ului de build — chiar și pentru software dezvoltat complet intern — poate introduce modificări malițioase între commit-ul dezvoltatorului și artefactul implementat. De aceea, aplicarea SBOM în pipeline-urile de apărare include din ce în ce mai mult atestări de proveniență a build-ului (niveluri SLSA Build) care leagă criptografic un artefact binar de commit-ul sursă specific și mediul de build care l-a produs.

Combinarea acestor factori înseamnă că C-SCRM pentru apărare trebuie să abordeze trei suprafețe de atac distincte: produsul furnizorului și dependențele sale upstream, pipeline-ul de dezvoltare pentru software intern și cel dezvoltat de contractori, și canalele de actualizare/distribuție prin care software-ul ajunge la sistemele implementate.

Cadrul C-SCRM NIST SP 800-161 Rev. 1

NIST Special Publication 800-161 Revision 1 (mai 2022), „Practici de management al riscurilor cibernetice în lanțul de aprovizionare pentru sisteme și organizații", este cadrul primar pentru C-SCRM în contextele federale și de apărare din SUA. Oferă un model pe patru niveluri care integrează managementul riscului în lanțul de aprovizionare cu ierarhia mai largă de management al riscului a organizației.

Nivelul 1 — Nivel organizațional: Conducerea superioară stabilește politica C-SCRM, atribuie responsabilitatea de guvernanță (un PMO C-SCRM sau un executiv de risc desemnat), definește pragurile de apetit față de risc și alocă resurse. La acest nivel, organizația răspunde la întrebări strategice: ce categorii de software și furnizori sunt în sfera de aplicare a C-SCRM? Care este toleranța organizației față de risc pentru componentele cu vulnerabilități cunoscute în sistemele implementate? Care este calea de escaladare atunci când este descoperit un compromis critic în lanțul de aprovizionare? Fără o politică de Nivel 1, activitățile C-SCRM la nivelurile inferioare nu au autorizare și guvernanță.

Nivelul 2 — Nivel de misiune/proces de afaceri: Managerii de program și oficialii de achiziții integrează cerințele C-SCRM în vehiculele de achiziție, șabloanele de contract și planificarea programului. La acest nivel, cerințele C-SCRM sunt traduse în cerințe specifice de achiziție: obligații de livrare SBOM, cerințe de nivel CMMC, standarde de atestare a provenienței și termene de raportare a incidentelor. Acesta este locul în care politica C-SCRM devine aplicabilă contractual.

Nivelul 3 — Nivel sistem informațional: Proprietarii de sistem și ofițerii de securitate a sistemelor informaționale (ISSO) aplică controalele C-SCRM în timpul proiectării, dezvoltării, integrării și operațiunilor și întreținerii (O&M) sistemului. La acest nivel, activitățile C-SCRM includ inventarul componentelor (analiza SBOM), scorarea riscului furnizorului, urmărirea vulnerabilităților pentru componentele implementate și monitorizarea furnizorilor. Planul de securitate al sistemului (SSP) ar trebui să includă o secțiune C-SCRM care documentează controalele implementate și starea lor actuală.

Nivelul 4 — Nivel furnizor: Contractorii și furnizorii de sub-nivel implementează cerințele C-SCRM transmise lor prin contracte. Aceasta include propria lor generare de SBOM pentru software-ul livrat, obligațiile de raportare a incidentelor, cerințele de conformitate CMMC și managementul furnizorilor de sub-nivel. Nivelul 4 este locul în care teoria se întâlnește cu practica — calitatea implementării C-SCRM la nivelul furnizorului determină direct expunerea la risc a organizației achizitoare.

NIST 800-161 Rev. 1 mapează practicile C-SCRM la cele cinci funcții ale Cadrului de securitate cibernetică NIST (CSF) — Identificare, Protejare, Detectare, Răspuns, Recuperare — oferind o punte între C-SCRM și programele mai largi de securitate cibernetică pe care majoritatea organizațiilor de apărare le mențin deja. Practicile cheie pentru achizitorii din domeniul apărării la funcția Identificare includ: menținerea inventarului furnizorilor, analiza criticității software-ului și serviciilor achiziționate și evaluarea riscului în lanțul de aprovizionare. La funcția Protejare: cerințe SBOM, cerințe de atestare a provenienței și managementul listei de furnizori aprobați. La funcția Detectare: monitorizarea continuă a posturii de securitate a furnizorilor, abonamente la fluxuri de vulnerabilități și monitorizarea componentelor bazată pe SBOM.

SBOM ca instrument de vizibilitate în lanțul de aprovizionare

Un Software Bill of Materials (SBOM) este un inventar lizibil de mașină al tuturor componentelor dintr-un artefact software — dependențe directe, dependențe tranzitive, instrumente de build și straturi de imagine de bază pentru sarcinile de lucru containerizate. Într-un context C-SCRM, SBOM răspunde la întrebarea fundamentală de vizibilitate a lanțului de aprovizionare: ce se află exact în interiorul acestui produs software și sunt vreo componentă din cele identificate cunoscută ca vulnerabilă sau compromisă?

Generarea SBOM cu Syft și Trivy: Două instrumente open source domină generarea SBOM pentru pipeline-urile de apărare. Syft (de la Anchore) generează SBOM-uri CycloneDX și SPDX din imagini de container, sisteme de fișiere și depozite de cod sursă. Trivy (de la Aqua Security) combină generarea SBOM cu scanarea vulnerabilităților într-o singură trecere. Ambele instrumente suportă operarea în medii fără acces la internet (air-gapped) cu baze de date de vulnerabilități oglindite local — o cerință critică pentru mediile de dezvoltare clasificate.

# Generare SBOM CycloneDX dintr-o imagine de container folosind Syft

syft myapp:latest -o cyclonedx-json > sbom-myapp-v1.2.3.cdx.json

# Generare SBOM SPDX dintr-un director sursă

syft dir:/path/to/source -o spdx-json > sbom-source-v1.2.3.spdx.json

# Trivy: generare SBOM combinată cu scanare de vulnerabilități

trivy image --format cyclonedx --output sbom.cdx.json myapp:latest

trivy sbom --severity HIGH,CRITICAL sbom.cdx.json

Alegerea formatului SBOM contează în contextele de apărare. CycloneDX (în prezent la versiunea 1.6) are un suport larg de instrumente și include câmpuri pentru proveniența componentelor, starea patch-urilor și recunoașterea vulnerabilităților — caracteristici importante pentru documentația programelor de apărare. SPDX (Software Package Data Exchange) este formatul preferat de NIST menționat în ghidarea EO 14028 și are o adoptare mai puternică în comunitatea de conformitate a licențelor open source. Multe programe de apărare mențin ambele formate din aceeași etapă de pipeline, deoarece diferiți consumatori din aval (scanere de vulnerabilități față de instrumente de revizuire legală/IP) pot prefera formate diferite.

Analiza SBOM pentru componente cu vulnerabilități cunoscute: Odată generat un SBOM, acesta este analizat față de bazele de date de vulnerabilități. Baza de date OSV (Open Source Vulnerabilities) agregă CVE-uri din toate ecosistemele lingvistice majore (PyPI, npm, Maven, Go, Rust, Ruby etc.) și este disponibilă ca bază de date JSON cu capacitate de oglindire locală — importantă pentru mediile air-gapped. NVD (National Vulnerability Database) furnizează setul de date CVE autorizat cu scoruri CVSS. Grype (de la Anchore) și osv-scanner (de la Google) sunt principalele scanere SBOM-la-baze-de-date-de-vulnerabilități utilizate în pipeline-urile de apărare.

# Scanarea unui SBOM CycloneDX cu grype (ieșire în sarif pentru ingestie SIEM)

grype sbom:sbom-myapp-v1.2.3.cdx.json -o sarif > vuln-report.sarif

# Scanare cu osv-scanner față de baza de date OSV oglindită local

osv-scanner --config=osv-config.toml --sbom=sbom-myapp-v1.2.3.cdx.json

# Încrucișarea rezultatelor cu CISA KEV (necesită jq)

curl -s https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json \

  | jq '.vulnerabilities[].cveID' > kev-ids.txt

grep -f kev-ids.txt vuln-report.sarif

Pentru programele de apărare, integrarea SBOM cu lanțul de instrumente DevSecOps pentru pipeline-urile de apărare înseamnă că generarea SBOM și scanarea vulnerabilităților rulează automat la fiecare build. Rezultatele sunt publicate pe un tablou de bord centralizat de securitate, iar porțile pipeline-ului resping build-urile cu componente listate în KEV sau cu CVSS 9.0+ dacă nu există un ticket de excepție aprobat. Artefactul SBOM și rezultatele scanării de vulnerabilități sunt semnate și stocate alături de artefactul de build ca parte a pachetului de livrare.

Evaluarea securității furnizorilor de software pentru apărare

Analiza SBOM vă spune ce se află în produsul unui furnizor — dar nu vă spune dacă mediul de dezvoltare al furnizorului, pipeline-ul de build și infrastructura de distribuție sunt ele însele sigure. Evaluarea securității furnizorilor abordează acest decalaj: evaluează postura de securitate a furnizorului, nu doar securitatea artefactului pe care îl livrează.

Proiectarea chestionarului de securitate aliniat la NIST SP 800-171: Cadrul primar pentru evaluarea securității furnizorilor de software de apărare este NIST SP 800-171, „Protejarea informațiilor neclasificate controlate în sistemele și organizațiile nefederale." Un chestionar de evaluare a furnizorilor organizat în jurul celor 14 familii de controale NIST 800-171 oferă o abordare structurată și auditabilă. Cele 14 familii sunt: Control acces, Conștientizare și instruire, Audit și responsabilitate, Management configurație, Identificare și autentificare, Răspuns la incidente, Întreținere, Protecția media, Securitatea personalului, Protecție fizică, Evaluarea riscului, Evaluarea securității, Protecția sistemelor și comunicațiilor, și Integritatea sistemelor și informațiilor.

Pentru fiecare familie de controale, chestionarul ar trebui să întrebe:

Ce controale sunt în vigoare? (se solicită dovezi documentare)
Care este scorul SPRS curent și ce metodologie s-a folosit pentru calculul acestuia?
Există elemente deschise în Planul de acțiune și jaloane (POA&M)? Dacă da, care este data țintă de închidere?
A efectuat furnizorul vreo evaluare de securitate de terță parte în ultimele 24 de luni? Dacă da, de cine și conform cărui standard?
Care este procesul furnizorului pentru managementul securității furnizorilor de sub-nivel?

Cerințe de nivel CMMC: În cadrul Certificării modelului de maturitate în securitate cibernetică (CMMC), furnizorii de software de apărare care gestionează informații neclasificate controlate (CUI) trebuie să obțină cel puțin CMMC Nivelul 2, care necesită toate cele 110 cerințe NIST SP 800-171 și evaluarea de terță parte de către o Organizație de evaluare terță CMMC (C3PAO). Achizitorii ar trebui să verifice starea certificării CMMC a furnizorilor prin piața CMMC AB înainte de acordarea contractului și să solicite re-certificarea dacă certificatul furnizorului se apropie de expirare. Pentru programele care implică programe de achiziție sensibile sau care se confruntă cu actori de amenințări persistente avansate, CMMC Nivelul 3 (care adaugă cerințe NIST SP 800-172) poate fi adecvat.

Cerințele de evaluare de terță parte se extind dincolo de CMMC. Testarea de penetrare a mediului de dezvoltare al furnizorului (în special pipeline-ul de build și infrastructura de distribuție a artefactelor) ar trebui să fie o cerință periodică pentru furnizorii care furnizează software pentru programele de apărare de înaltă valoare. Revizuirea codului sursă pentru componentele critice — fie de echipa de securitate a organizației achizitoare, fie de o terță parte independentă — oferă asigurări care depășesc ceea ce poate detecta scanarea automată.

Managementul riscului componentelor open source

Componentele software open source prezintă un profil de risc distinct față de furnizorii comerciali. Nu există un furnizor de evaluat, niciun contract prin care să se aplice cerințele de securitate și adesea nicio structură formală de guvernanță de tras la răspundere. Cu toate acestea, software-ul modern de apărare este construit extensiv pe fundații open source — sistemele de operare, platformele de containerizare, bibliotecile criptografice, protocoalele de comunicare și cadrele aplicațiilor sunt predominant open source.

Conformitatea licențelor OSS — riscul de contaminare GPL: GNU General Public License (GPL) este o licență copyleft care impune ca lucrările derivate să fie distribuite sub aceeași licență, inclusiv prin punerea la dispoziție a codului sursă. Pentru software-ul de apărare cu algoritmi proprietari sau componente clasificate, încorporarea accidentală a codului licențiat GPL poate declanșa obligații de publicare a codului sursă care nu ar trebui să fie publice. LGPL (Lesser GPL) se declanșează doar atunci când biblioteca este legată static; AGPL (Affero GPL) se declanșează chiar și pentru software-ul utilizat printr-o rețea fără distribuție. Un scaner de conformitate a licențelor — FOSSA (comercial), Black Duck (comercial) sau instrumentele open source REUSE — ar trebui să analizeze fiecare componentă din SBOM înainte de fiecare livrare, cu o politică definită pentru fiecare tip de licență: permisă, permisă cu condiții (LGPL cu legare dinamică numai) sau interzisă (GPL în context executabil).

Evaluarea riscului întreținătorilor reprezintă dimensiunea factorilor umani a riscului OSS. Backdoor-ul XZ Utils a fost executat de un contributor malițios care a petrecut aproximativ doi ani construindu-și reputația și istoricul commit-urilor în proiect înainte de a insera backdoor-ul. Evaluarea riscului întreținătorilor implică examinarea:

Numărul de întreținători activi și factorul de autobuz (ce se întâmplă dacă unicul întreținător principal devine indisponibil sau compromis?)
Distribuția geografică și afilierea organizațională a contribuitorilor cheie — sunt contribuitori semnificativi afiliați cu organizații din țări care prezintă îngrijorări privind amenințările la lanțul de aprovizionare?
Practicile de lansare și semnare ale proiectului — sunt lansările semnate? Cheia de semnare este deținută de o singură persoană sau distribuită?
Răspunsul proiectului la problemele de securitate anterioare — cât de repede au fost abordate CVE-urile? A fost comunitatea receptivă?
Scorul OpenSSF Scorecard — o metrică automată de sănătate a comunității care acoperă protecția branch-urilor, practicile de securitate CI/CD, fixarea dependențelor și alți indicatori

Strategia de fork pentru componentele OSS critice: Pentru componentele care sunt atât critice pentru funcția sistemului, cât și prezintă un risc ridicat al întreținătorilor, o strategie de fork oferă control cu costul unui overhead de întreținere. Organizația menține un fork intern al componentei în propriul registru de artefacte. Actualizările din proiectul upstream sunt revizuite de echipa de securitate a organizației înainte de a fi incorporate. Dacă proiectul upstream publică o actualizare malițioasă, fork-ul organizației este izolat — versiunea malițioasă nu ajunge niciodată în registrul de artefacte. Strategia de fork este adecvată pentru un set mic de componente cu adevărat critice (biblioteci criptografice, module de autentificare, implementări de protocoale de bază) — aplicarea sa universală ar crea o datorie de întreținere insuportabilă.

Cerințe contractuale SCRM și clauze DFARS

Cerințele C-SCRM devin aplicabile legal prin clauze contractuale. Achizițiile de apărare folosesc o combinație de clauze DFARS obligatorii și cerințe SCRM specifice programului negociate în termenii contractului.

DFARS 252.204-7012 (Protejarea informațiilor de apărare acoperite și raportarea incidentelor cibernetice) este clauza fundamentală pentru securitatea cibernetică a contractorilor de apărare. Obligațiile sale includ: securitate adecvată (implementarea NIST SP 800-171 pe toate sistemele care procesează, stochează sau transmit informații de apărare acoperite), raportarea rapidă a incidentelor cibernetice la DoD în termen de 72 de ore de la descoperire, păstrarea imaginilor sistemelor compromise timp de 90 de zile pentru potențiala criminalistică DoD și trimiterea de programe malware atunci când software malițios este descoperit în legătură cu un incident raportat. În scopuri C-SCRM, cerința de raportare în 72 de ore este cea mai solicitantă din punct de vedere operațional: contractorii trebuie să aibă capacități de detectare, investigare și raportare care pot opera de la un capăt la altul în această fereastră, inclusiv incidentele din lanțul de aprovizionare (un produs al furnizorului compromis utilizat în mediul de dezvoltare al contractorului).

Clauzele de atestare a provenienței software — introduse din ce în ce mai mult în contractele software de apărare de la EO 14028 — impun contractorilor să livreze atestări semnate că software-ul lor a fost produs în conformitate cu practici definite de dezvoltare securizată. Memorandumurile OMB M-22-18 și M-23-16 definesc cerințele minime de atestare a dezvoltării securizate a software-ului pentru achizițiile software federale. Aceste atestări fac referire la Cadrul de dezvoltare securizată a software-ului NIST (SSDF) și necesită practici specifice: protejarea mediului de build, generarea SBOM-urilor, scanarea vulnerabilităților înainte de livrare și menținerea dovezilor revizuirii de securitate. Contractorii ar trebui să utilizeze atestările de proveniență SLSA Build Nivelul 2 sau Nivelul 3 pentru a furniza dovezi criptografice care leagă binarul livrat de commit-ul sursă specific și mediul de build.

Cerințele de transmitere către subcontractori: Obligațiile C-SCRM ale contractorului principal nu se opresc la limita organizațională a acestuia. Orice subcontractor care gestionează informații de apărare acoperite sau care furnizează componente software incorporate în sistemul livrat trebuie să primească cerințe echivalente prin transmiterea în contract. Aceasta include DFARS 252.204-7012 (obligatoriu acolo unde este aplicabil), obligații de livrare SBOM, cerințe de atestare a provenienței software, cerințe de nivel CMMC echivalente cu nivelul cerut contractorului principal și obligații de notificare a contractorului principal într-o perioadă definită (de obicei 24-48 de ore) atunci când subcontractorul suferă o breșă. Contractorii principali sunt responsabili contractual pentru verificarea conformității subcontractorilor — „subcontractorul meu a fost compromis și nu știam" nu este o explicație acceptabilă pentru clientul guvernamental.

Restricțiile privind țara de origine adaugă un alt nivel: Secțiunea 889 din NDAA interzice utilizarea anumitor echipamente de telecomunicații și supraveghere video de la producători desemnați în programele guvernamentale americane, iar prevederile ulterioare NDAA au extins restricțiile la componente software. Șabloanele de contract ar trebui să includă interdicții explicite privind țara de origine aliniate la lista curentă de restricții NDAA, iar analiza SBOM ar trebui să semnaleze componentele ale căror origini cunoscute sau afiliere a întreținătorilor pot ridica îngrijorări.

Monitorizarea continuă SCRM

Evaluarea statică SCRM — efectuarea unei evaluări a furnizorului și a scanării SBOM la acordarea contractului, apoi arhivarea rezultatelor — oferă o imagine punctuală a riscului care este depășită în ziua următoare evaluării. Monitorizarea continuă SCRM menține o imagine continuă a riscului prin abonarea la fluxuri de informații despre vulnerabilități și corelarea automată a noilor informații cu inventarul componentelor implementate.

Fluxuri de alertă privind vulnerabilitățile: Cele două fluxuri primare pentru monitorizarea continuă sunt CISA KEV și NVD. Catalogul de vulnerabilități exploatate cunoscute (KEV) al CISA este actualizat continuu și conține CVE-uri confirmate că au fost exploatate activ — acestea reprezintă țintele de remediere cu cea mai mare prioritate indiferent de scorul CVSS, deoarece nu sunt riscuri teoretice, ci tehnici de atac confirmate. NVD furnizează setul de date CVE complet cu scoruri CVSS v3.1 și v4.0. Ambele sunt disponibile ca fluxuri JSON lizibile de mașină adecvate pentru ingestie automată.

Pentru sarcinile de lucru containerizate, practicile de securitate a imaginilor de container pentru mediile de apărare includ re-scanarea la nivelul registrului: atunci când este publicată o nouă vulnerabilitate care afectează o versiune a unui pachet de SO prezent în imaginile stocate, registrul (Harbor, de exemplu) re-scanează automat imaginile afectate și le marchează ca eșuând politica de vulnerabilitate. Aceasta declanșează o notificare pentru echipa responsabilă fără a necesita nicio acțiune manuală.

Re-scanarea automată a componentelor la apariția noilor CVE-uri: Arhitectura de automatizare pentru monitorizarea continuă SCRM integrează trei fluxuri de date: (1) inventarul SBOM (toate componentele din toate sistemele implementate), (2) informații CVE/KEV primite și (3) sistemul de ticketing de remediere. Când este publicat un nou CVE, un proces automat interoghează inventarul SBOM pentru orice componentă implementată care se potrivește cu pachetul afectat și intervalul de versiune. Dacă este găsită o potrivire, un ticket de remediere este creat automat cu prioritate derivată din fluxul de informații (potrivire KEV = P0 imediat, CVSS 9.0+ = P1 ziua lucrătoare următoare, CVSS 7.0-8.9 = P2 ticket de sprint). Aceasta elimină etapa manuală de triere care în mod tipic întârzie remedierea vulnerabilităților în organizațiile care se bazează pe cicluri periodice de scanare.

# Pseudocod monitorizare continuă — interogare inventar SBOM față de o nouă intrare KEV

NEW_KEV_ID="CVE-2024-XXXXX"

SBOM_STORE="/opt/sbom-archive"  # director local cu toate SBOM-urile produselor

# Scanarea tuturor SBOM-urilor arhivate pentru CVE-ul afectat

for sbom in "$SBOM_STORE"/*.cdx.json; do

  PRODUCT=$(basename "$sbom" .cdx.json)

  MATCH=$(grype sbom:"$sbom" --only-fixed=false -q | grep "$NEW_KEV_ID")

  if [ -n "$MATCH" ]; then

    echo "POTRIVIRE KEV: $PRODUCT conține $NEW_KEV_ID — escaladare imediată"

    # trigger-remediation-ticket --product "$PRODUCT" --cve "$NEW_KEV_ID" --priority P0

  fi

done

Răspuns la incident pentru dependențe compromise: Când o dependență este descoperită ca fiind compromisă — nu doar vulnerabilă, ci cu backdoor activ, ca în cazul XZ Utils — procesul de răspuns diferă de remedierea unui CVE. Pașii cheie sunt:

Determinați domeniul imediat: Interogați inventarul SBOM pentru a enumera fiecare implementare care conține versiunea componentei afectate. Aceasta ar trebui să dureze minute, nu zile — un domeniu lent de determinare reprezintă un eșec al programului C-SCRM.
Evaluați exploatabilitatea: Determinați dacă codul malițios a fost efectiv executat în contextul de implementare. XZ Utils, de exemplu, a fost exploatat doar atunci când era încărcat de o versiune specifică a systemd — sistemele fără acea configurație nu au fost afectate chiar dacă aveau pachetul malițios instalat.
Notificați în termen de 72 de ore: DFARS 252.204-7012 impune raportarea la DoD în termen de 72 de ore. Notificarea clientului ar trebui să aibă loc simultan — nu după finalizarea investigației interne.
Remediați și verificați: Actualizați la o versiune curată sau activați strategia de fork. Efectuați verificarea integrității artefactelor de sistem care ar fi putut fi produse folosind componenta compromisă.
Revizuire post-incident: Identificați ce control C-SCRM ar fi trebuit să detecteze mai devreme compromiterea — acoperire SBOM insuficientă, evaluare lipsă a riscului întreținătorilor, absența unei strategii de fork pentru o componentă critică — și actualizați programul în consecință.

Indicator de maturitate a programului: Un program C-SCRM matur poate răspunde la trei întrebări în mai puțin de o oră, în orice moment: (1) ce versiune a unei componente numite este implementată în fiecare sistem de producție? (2) atunci când este publicat un nou CVE pentru acea componentă, care sisteme sunt afectate? (3) cine este proprietarul responsabil pentru fiecare sistem afectat? Programele care nu pot răspunde rapid la aceste întrebări operează cu un risc în lanțul de aprovizionare pe care nu îl pot cuantifica sau gestiona — o poziție din ce în ce mai de neacceptat în contextul actualelor așteptări ale DoD și ale partenerilor aliați.

Dimensiunea organizațională a monitorizării continue SCRM este la fel de importantă ca cea tehnică. Cineva trebuie să dețină procesul de monitorizare, să fie disponibil pentru alertele P0 și să aibă autoritatea de a scoate offline un sistem sau de a iniția un ciclu de patch de urgență atunci când este descoperită o potrivire KEV sau o dependență compromisă. Responsabilitatea C-SCRM distribuită între mai multe echipe fără un singur proprietar responsabil produce în mod consecvent răspunsuri întârziate — exact modul de eșec pe care adversarii se bazează.

Discutați proiectul dumneavoastră

Implementăm programe C-SCRM pentru contractorii de software de apărare — de la integrarea pipeline-ului SBOM la cadre de evaluare a furnizorilor și arhitecturi de monitorizare continuă aliniate la cerințele NIST SP 800-161 și DFARS.

Servicii de securitate cibernetică → Servicii de dezvoltare

Această analiză a fost pregătită de inginerii Corvus Intelligence care construiesc software de misiune critică pentru organizații de apărare și guvernamentale. Aflați mai multe despre echipa noastră →

Întrebări frecvente

Ce este C-SCRM și de ce contează pentru apărare?

Managementul riscurilor cibernetice în lanțul de aprovizionare (C-SCRM) este disciplina de identificare, evaluare și atenuare a riscurilor introduse într-un sistem prin lanțul său de aprovizionare software — rețeaua de furnizori, componente open source, instrumente de build și canale de distribuție care contribuie la un produs finit. Pentru organizațiile de apărare, C-SCRM este critic deoarece adversarii au demonstrat dorința și capacitatea de a compromite produse software comerciale înainte ca acestea să ajungă la client. Breșa SolarWinds Orion (2020) și backdoor-ul XZ Utils (2024) sunt exemple canonice. NIST SP 800-161 Rev. 1 (2022) este cadrul autorizat pe care achizitorii din domeniul apărării trebuie să îl implementeze.

Care sunt cele patru niveluri ale modelului C-SCRM NIST SP 800-161?

NIST SP 800-161 Rev. 1 structurează C-SCRM pe patru niveluri care oglindesc ierarhia de guvernanță a organizației. Nivelul 1 este nivelul organizațional — conducerea executivă stabilește politica C-SCRM, finanțarea și apetitul față de risc. Nivelul 2 este nivelul de misiune/proces de afaceri — managerii de program integrează cerințele C-SCRM în planificarea achizițiilor și vehiculele contractuale. Nivelul 3 este nivelul sistemului informațional — proprietarii de sistem aplică controalele C-SCRM în timpul proiectării, dezvoltării și O&M. Nivelul 4 este nivelul furnizorului — contractorii și furnizorii de sub-nivel implementează cerințele transmise lor prin contract. Riscurile identificate la Nivelul 4 (o componentă vulnerabilă a unui subcontractor) trebuie să urce înapoi prin Nivelurile 3 și 2 pentru luarea deciziilor organizaționale.

Ce este un SBOM și cum este utilizat pentru managementul riscului în lanțul de aprovizionare?

Un Software Bill of Materials (SBOM) este un inventar lizibil de mașină al tuturor componentelor — dependențe directe și tranzitive — dintr-un artefact software. Într-un context C-SCRM, SBOM este fundamentul vizibilității lanțului de aprovizionare: vă spune ce cod terț se află în interiorul unui produs pe care l-ați implementat sau îl evaluați. Instrumente precum Syft (Anchore) și Trivy (Aqua) generează SBOM-uri în format CycloneDX sau SPDX din imagini de container sau depozite sursă. SBOM-ul este apoi analizat față de bazele de date de vulnerabilități (OSV, NVD) și față de catalogul de vulnerabilități exploatate cunoscute al CISA pentru a identifica componentele care necesită remediere imediată. Fără un SBOM, evaluarea riscului în lanțul de aprovizionare este o ghicitoare.

Ce implică auto-atestarea NIST SP 800-171 pentru furnizorii de apărare?

NIST SP 800-171 definește 110 cerințe de securitate în 14 familii de controale pentru protejarea informațiilor neclasificate controlate (CUI) în sistemele nefederale. Înainte ca programul CMMC să impună evaluarea de terță parte pentru niveluri superioare, furnizorii puteau auto-atesta conformitatea prin completarea scorului din Sistemul de risc de performanță al furnizorilor DoD (SPRS). Auto-atestarea necesită ca furnizorul să revizuiască fiecare dintre cele 110 cerințe, să documenteze modul în care cerința este îndeplinită (sau planul de îndeplinire a acesteia) și să calculeze un scor pe baza metodologiei de evaluare NIST SP 800-171A. Achizitorii care primesc auto-atestări ar trebui să valideze metodologia utilizată și să caute semne de implementare credibilă — elemente POA&M cu date realiste de închidere, dovezi ale exercițiilor de identificare CUI și documentație consecventă a politicii de securitate.

Ce nivel CMMC este necesar pentru furnizorii de software de apărare?

Cadrul de Certificare a modelului de maturitate în securitate cibernetică (CMMC) are trei niveluri. Nivelul 1 (Fundamental) necesită 17 cerințe de bază de protecție pentru informațiile contractuale federale (FCI) — auto-evaluat. Nivelul 2 (Avansat) necesită toate cele 110 cerințe NIST SP 800-171 pentru gestionarea CUI — evaluare de terță parte (C3PAO) necesară pentru programele cu CUI. Nivelul 3 (Expert) adaugă un subset de cerințe NIST SP 800-172 pentru programele de înaltă valoare care se confruntă cu amenințări persistente avansate — evaluat de DCSA. Majoritatea furnizorilor de software de apărare care gestionează CUI în mediile lor de dezvoltare vor necesita cel puțin CMMC Nivelul 2. Achizitorii trebuie să specifice nivelul CMMC necesar în solicitări, iar cerința se transmite subcontractorilor care gestionează CUI.

Ce este riscul de contaminare GPL și de ce contează pentru software-ul de apărare?

Contaminarea GPL — mai precis numită propagare copyleft — apare atunci când codul open source licențiat GPL este încorporat într-un produs software proprietar într-un mod care declanșează cerințele de distribuție ale GPL. GPL impune că atunci când distribuiți software care încorporează cod licențiat GPL, trebuie să distribuiți și codul sursă al lucrării combinate sub GPL. Pentru un furnizor de software de apărare cu algoritmi proprietari sau componente clasificate, declanșarea accidentală a obligațiilor GPL ar putea impune publicarea codului sursă care nu ar trebui să fie public, violând clauzele contractuale de protecție a PI sau oprind distribuția. LGPL și AGPL au condiții de declanșare diferite. Instrumentele de scanare a conformității licențelor precum FOSSA, Black Duck sau instrumentele open source REUSE ar trebui să scaneze fiecare dependență din SBOM înainte de orice livrare software.

Care sunt obligațiile DFARS 252.204-7012 pentru contractorii de software de apărare?

DFARS 252.204-7012 (Protejarea informațiilor de apărare acoperite) este o clauză obligatorie în majoritatea contractelor DoD care implică informații de apărare acoperite (CDI) sau suport critic operațional. Obligațiile sale principale sunt: securitate adecvată (implementarea NIST SP 800-171 pe toate sistemele care procesează CDI), raportarea rapidă a incidentelor cibernetice la DoD în termen de 72 de ore de la descoperire, păstrarea imaginilor sistemelor compromise timp de 90 de zile și trimiterea software-ului malițios descoperit în legătură cu un incident raportat. Fereastra de raportare de 72 de ore este solicitantă din punct de vedere operațional — contractorii trebuie să aibă un plan de răspuns la incidente care să permită detectarea, investigarea și raportarea în această fereastră. Clauza impune, de asemenea, notificarea DoD dacă un subcontractor suferă un incident cibernetic raportabil.

Cum se integrează CISA KEV în monitorizarea continuă SCRM?

Catalogul de vulnerabilități exploatate cunoscute (KEV) al CISA este o listă curată de CVE-uri care au fost exploatate activ, cu termene de remediere obligatorii pentru agențiile federale (de obicei 2 săptămâni pentru critice/ridicate în cadrul BOD 22-01). Pentru contractorii de apărare, KEV este semnalul de vulnerabilitate cu cea mai mare prioritate: o componentă din SBOM-ul dumneavoastră care apare în KEV este exploatată activ și necesită acțiune imediată, indiferent de scorul CVSS. Pipeline-urile automate de monitorizare SCRM ar trebui să se aboneze la fluxul JSON KEV (actualizat zilnic) și să încrucișeze fiecare componentă SBOM cu acesta. Când o nouă intrare KEV se potrivește cu o componentă dintr-un produs implementat, inginerul de securitate de gardă primește o alertă imediată și un ticket de remediere este creat automat.

Ce este o strategie de fork pentru componentele OSS critice?

O strategie de fork pentru componentele open source critice înseamnă menținerea unei copii controlate de organizație a unei dependențe OSS critice, mai degrabă decât consumarea acesteia direct din registrul public upstream. Fork-ul este găzduit în registrul intern de artefacte al organizației (Nexus, Artifactory sau un echivalent air-gapped). Când proiectul upstream publică o actualizare, organizația revizuiește modificările înainte de a le incorpora în fork-ul intern — un proces care captează actualizările malițioase înainte ca acestea să ajungă în producție. Acest lucru este deosebit de important pentru componentele ale căror întreținători au demonstrat activitate redusă, guvernanță ambiguă sau potențială expunere la influența actorilor de stat. Compromisul este sarcina de întreținere: echipa trebuie să revizuiască și să incorporeze remedierile de securitate upstream în timp util, altfel fork-ul rămâne în urmă și acumulează propria sa datorie de vulnerabilitate.

Care sunt cerințele contractuale cheie de transmitere SCRM pentru subcontractori?

Când un contractor principal primește un contract DoD cu cerințe C-SCRM, aceste cerințe trebuie transmise subcontractorilor care gestionează informații acoperite sau furnizează componente software. Cerințele cheie de transmitere includ: DFARS 252.204-7012 (raportarea incidentelor cibernetice, securitate adecvată — obligatoriu când subcontractorul gestionează CDI), cerința de nivel CMMC echivalentă cu nivelul cerut contractorului principal, obligația de livrare SBOM pentru fiecare componentă software livrată, atestarea provenienței software (SLSA Build Nivelul 2 sau echivalent), interzicerea anumitor software și hardware din țări restricționate (conform Secțiunii 889 NDAA și restricțiilor asociate) și obligația de notificare a contractorului principal într-o perioadă definită dacă subcontractorul suferă o breșă. Contractorii principali sunt responsabili pentru verificarea conformității subcontractorilor — certificatele CMMC ale subcontractorilor ar trebui validate prin piața CMMC AB.