SBOM heeft “IBOM” nodig om echt effectief te zijn.

Weblogbericht | 16-11-2022 | NCSC

SBOM?

SBOM staat voor: Software Bill of Materials. Kort samengevat biedt SBOM een overzicht van softwarecomponenten en hun bijbehorende versies die gezamenlijk de IT-oplossing vormen. (Het NCSC heeft daarover al eerder gepubliceerd naar aanleiding van een onderzoek naar SBOM en cybersecurity.)
 

De voordelen van het hebben van een SBOM zijn duidelijk. Zo helpt SBOM om de kwaliteit van een ingekocht product te beoordelen en is het dus onderdeel van je supply chain risicomanagement. Ook is de SBOM een uitkomst voor je eigen kwaliteitszorg als je zelf software ontwikkelt. Tenslotte kunnen organisaties bij het bekend worden van kwetsbaarheden aan de hand van de SBOM bepalen of dit ook IT-oplossingen raakt die binnen de eigen organisatie worden gebruikt (Log4j: Wat hebben we tot nu toe geleerd?).
 

Maar wat weet je dan echt?

Je weet aan de hand van goed gedocumenteerde software dat er kwetsbaarheden bestaan in de software die door jou organisatie in gebruik is, maar:

• Loopt de organisatie ook daadwerkelijk risico?
• Zo ja, welke risico’s zijn dat precies?
• Hoe groot zijn die risico’s voor de organisatie? 

Om die vraag te beantwoorden heb je een "IBOM" nodig.

Om het werkelijke risico van een kwetsbaarheid te bepalen heb je zicht nodig op de informatiestromen (vandaar de I in “IBOM”) en alle systemen die deze informatie verwerken.
Ook moet je weten wat de waarde van deze informatie is en wat de consequenties voor de organisatie zijn als deze informatie gecompromitteerd raakt of informatiestromen stil komen te liggen.

Het idee van een "IBOM" is niet nieuw. Sterker nog het is relatief oud... Hoe informatie- en risicomanagement in te vullen zijn is bijvoorbeeld prima beschreven in ISO-normen zoals de 31000 en 27000 serie. De eerste stap in ISO 27005 is bijvoorbeeld een Context Analyse wat min of meer het hele "IBOM" concept omvat.

Wat gaat er mis als we het bij SBOM houden en "IBOM" negeren?

Reageer je (met of zonder SBOM) op kwetsbaarheden zonder je informatie- en risicomanagement op orde te hebben? Dan loop je de kans vooral puntoplossingen voor specifieke situaties te realiseren.

Waarschijnlijk stel je ook - in het licht van de organisatiedoelen - niet de juiste prioriteiten. Dit simpelweg omdat je door gebrek aan context de werkelijke risico's niet overziet en daarom moet reageren. Zo blijft de organisatie vast zitten in een onsamenhangende securitystrategie waarbij je afhankelijk bent van actualiteiten.

Aan de slag met risicomanagement? Het NCSC kan u hierover adviseren. Zie onder andere de onderstaande kennisproducten.

• Factsheet Risico's beheersen: de waarde van informatie als uitgangspunt.
• Risicobeheersing: Hoe het NCSC u daarbij kan helpen
• Kwantificering van cyberrisico's

Geschreven door:
Ronald van der Zon
CISSP CISA CRISC