CBOM und HBOM: Verschlüsselung und Hardware dokumentieren

Wofür steht CBOM?

Eine CBOM ist eine Erweiterung einer SBOM und bietet eine leicht verständliche Bestandsaufnahme der kryptografischen Ressourcen in Infrastruktur, Diensten und Software. Eine CBOM hilft Security-Teams, ihre kryptografischen Ökosysteme zu verstehen, kryptografische Risiken zu verwalten und die Einhaltung von Vorschriften sicherzustellen.

CBOMs unterstützen auch die Kryptoagilität und die Migration zur Post-Quanten-Kryptografie – sie ermitteln, wo klassische Kryptografie verwendet wird, und bieten Mechanismen zur Erfassung und Verfolgung von Übergängen zu Post-Quanten-Systemen.

Für wen eignen sich CBOMs?

Jedes Unternehmen, dessen Systeme Kryptografie verwenden, kann vom Einsatz von CBOMs im Risikomanagement der Lieferkette profitieren. Mit anderen Worten: Es gibt kaum ein Unternehmen, das den Einsatz von CBOMs nicht in Betracht ziehen sollte.

Wichtige Komponenten einer CBOM

In seiner grundlegendsten Form ist eine CBOM eine Tabelle, in der die Komponenten der kryptografischen Ressourcen einer Organisation aufgeführt sind. Die Felder können beispielsweise Folgendes umfassen:

Kryptografische Algorithmen. Beschreibt die mathematischen Formeln, die den kryptografischen Sicherheitsmaßnahmen zugrunde liegen. Diese werden häufig in Bibliotheken eingerichtet und können Folgendes umfassen:

• Symmetrische Algorithmen wie AES, DES und Triple DES.
• Asymmetrische Algorithmen wie RSA und Elliptic Curve Cryptography (ECC).
• Hashing-Algorithmen wie SHA-256.

Kryptografische Schlüssel. Beschreibt kryptografische Schlüssel, wesentliche Komponenten von Sicherheitsalgorithmen, die für den Zugriff auf bestimmte Algorithmen sowie deren Sperrung und Entsperrung verwendet werden. Die Schlüssellänge kann je nach Algorithmus zwischen 64 und 256 Bit variieren. Schlüssel können öffentlich oder privat sein.

Protokolle. Kennzeichnet Protokolle wie TLS, die Kryptografie verwenden.

Zertifikate. Bezeichnet digitale Zertifikate wie in TLS und SSL, die mit Verschlüsselung arbeiten, um die Sicherheit von Internet- und anderen Datenverbindungen zu gewährleisten.

Identifizierung von Abhängigkeiten. Beschreibt, wie kryptografische Komponenten mit relevanter Software und der kryptografischen Struktur zusammenwirken.

Komponentenkonfigurationen. Legt fest, wie kryptografische Komponenten konfiguriert und verwaltet werden.

Richtliniendefinitionen und -konfigurationen. Legt Sicherheits-, Compliance- und Konfigurationsanforderungen sowie Richtlinien zu deren Erfüllung fest.

Vorteile und Herausforderungen von CBOM

CBOMs bieten eine Vielzahl von Vorteilen, darunter die folgenden:

• Organisation, Effizienz und Transparenz. Bietet eine Bestandsaufnahme der kryptografischen Ressourcen, die in einem leicht verständlichen und benutzerfreundlichen Format organisiert ist.
• Compliance. Hilft Unternehmen dabei, die Einhaltung von Cybersicherheitsstandards und -vorschriften wie NIS2, DSGVO und PCI DSS zu erreichen.
• Risikoidentifizierung. Ermöglicht Benutzern die Analyse von CBOM-Daten, um potenzielle Risiken, Schwachstellen und einzelne Fehlerquellen zu identifizieren.
• Sicherheitsbewertung. Hilft dem CISO dabei, festzustellen, ob die vorhandenen Kryptosysteme ausreichend sind oder ob es an der Zeit ist, die Technologie auf ein sichereres Niveau zu aktualisieren. Liefert Daten, die dem Unternehmen dabei helfen können, seine allgemeine Sicherheitslage zu verbessern.
• Quantensichere Kryptografie. Unterstützt den Übergang zu quantensicherer Kryptografie.

Trotz all ihrer Vorteile bringen CBOMs jedoch auch folgende Herausforderungen mit sich:

Ressourcenintensiv. Die Erstellung und Pflege dieser Aufzeichnungen können zeitaufwendig und kostspielig sein, insbesondere bei komplexen und älteren Systemen.

Hochwertige Ziele. CBOM-Daten könnten kompromittiert und von Angreifern genutzt werden, wenn sie nicht angemessen geschützt werden.

Begrenzte Verfügbarkeit von Tools. Derzeit gibt es relativ wenige Tools, die Teams bei der Definition und Verwaltung von CBOMs unterstützen.

Wie man eine CBOM erstellt

Ein kostengünstiger Ausgangspunkt für die Erstellung einer CBOM-Tabelle ist Word oder Excel. Teams können auch automatisierte Tools verwenden, um Quellcode, Netzwerkdaten, Sicherheitsdaten und andere Artefakte zu scannen, um Anwendungskonfigurationen, Softwareabhängigkeiten und Hardware für die CBOM zu identifizieren. Zu diesen Tools gehören die folgenden:

1. CBOMkit

• Erstellt maschinenlesbare CBOMs und ermöglicht Unternehmen die Bewertung der Konformität.
• Scannt und analysiert Quellcode, um kryptografische Ressourcen wie Algorithmen, Protokolle, Zertifikate und Schlüssel zu identifizieren. Basiert auf einem Open-Source-Tool von IBM und wird von der Post-Quantum Cryptography Alliance gepflegt.

2. IBM Quantum Safe Explorer

• Verwendet .json-Dateien, um kryptografische Assets zu definieren und Beziehungen zwischen Elementen wie Bibliotheken und Protokollen hervorzuheben.
• Identifiziert Schwachstellen als Teil des Lebenszyklusmanagements für kryptografische Ressourcen.

3. CycloneDX CBOM Support

• Bietet ein standardisiertes Format für die Erstellung von Bestandsverzeichnissen von Algorithmen, Schlüsseln, Zertifikaten und Protokollen.
• Der von OWASP entwickelte CycloneDX-Standard umfasst Unterstützung für die CBOM-Entwicklung.

4. SandboxAQ AQtive Guard

• Enthält eine Erkennungsfunktion, die Kryptografie in der gesamten IT-Umgebung ermittelt und Daten aus Quellen wie kryptografischen Algorithmen, Bibliotheken und Protokollen sammelt und analysiert.
• Katalogisiert kryptografische Artefakte und ihre Abhängigkeiten und formatiert sie in eine CBOM. Identifiziert kryptografische Schwachstellen und Compliance-Probleme und überwacht die Leistung.

5. Black Duck

• Analysiert kryptografische Elemente und erstellt sowohl SBOMs als auch CBOMs.
• Verwendet standardisierte, maschinenlesbare Formate wie SPDX und CycloneDX.

Nachdem die Teammitglieder eine CBOM erstellt und genehmigt haben, sollten sie diese regelmäßig überprüfen und aktualisieren, um sicherzustellen, dass sie weiterhin mit den IT-Sicherheitsanforderungen und -Standards des Unternehmens übereinstimmt.

Was CISOs über HBOMs wissen sollten

Vom Abstrakten zum Konkreten – von der Kryptografie zur Hardware – beschreibt eine HBOM die physischen Komponenten eines Systems, sei es ein Server, ein Switch, ein Desktop-Computer oder ein anderes Unternehmensgerät.

Laut der US-amerikanischen CISA, die ein HBOM-Framework entwickelt hat, umfassen die primären Anwendungsfälle Folgendes:

• Compliance. Bewerten Sie, wie sich Produkte auf die Fähigkeit einer Organisation auswirken könnten, Standards, Vorschriften und Anforderungen zu erfüllen.
• Sicherheit. Bewerten Sie, wie sich ein Produkt aufgrund bekannter Schwachstellen und der Exposition gegenüber bestimmten Gruppen und geografischen Standorten auf das Risikoniveau der Lieferkette auswirken würde – zum Beispiel ein Hardware-Anbieter mit Sitz in China, der der Aufsicht und Intervention der chinesischen Regierung unterliegt.
• Verfügbarkeit. Bewerten Sie die relative Schwierigkeit, die erforderlichen Komponenten zu beschaffen.

Aus Sicht eines CISO ergänzen sich HBOMs und SBOMs, indem sie eine umfassende Bestandsaufnahme der Hardware- und Softwarekomponenten liefern, die wiederum als Grundlage für Strategien zum Umgang mit Cyberrisiken und zur Einhaltung von Vorschriften dienen kann. Zusammen bilden SBOMs und HBOMs ein Rahmenwerk, das eine umfassende Transparenz der Lieferkette und eine effektivere Minderung von Risiken durch Dritte ermöglicht.

Für wen sind HBOMs empfehlenswert?

Jedes Unternehmen, das stark auf Hardware angewiesen ist und Datensicherheit und Transparenz in der Lieferkette priorisiert, benötigt HBOMs. Unternehmen, die von NIS2 betroffen sind, sollten der Thematik auch Beachtung schenken.

Wichtige Komponenten einer HBOM

Eine Stückliste (BOM, Bill of Materials) enthält mindestens die Kernelemente, die zum Aufbau eines Systems verwendet werden, darunter Teilenummern, Bestellcodes, Teilebeschreibungen, Bestellmengen, Stückkosten, erweiterte Kosten und alle anderen relevanten Informationen.

Stücklisten werden entweder als einstufig oder mehrstufig kategorisiert. Einstufige Stücklisten sind am weitesten verbreitet. Sie listen in der Regel Komponenten auf – beispielsweise Baugruppen –, aus denen ein fertiges Produkt besteht. Eine einstufige Stückliste für einen Server könnte beispielsweise wie folgt aussehen:

Server HBOM

• Gehäuse
• Mainboard
• CPU/Speicher
• Netzteil

Stücklisten, die zusätzliche Details zu allen Unterbaugruppen enthalten, werden als mehrstufige Stücklisten bezeichnet. Beispiel:

Server HBOM

• Gehäusebaugruppe
  - Deckel
  - Befestigungselemente.
• Hauptplatine
  Mainboard
  Geräteanschlüsse.
• CPU/Speicher-Baugruppe.
  - CPU
  - Speicher
• Netzteilbaugruppe.
  - Netzteil
  - Netzkabel.

Auch hier können IT- und Sicherheitsexperten sowohl automatisierte Tools als auch einfache Tabellenkalkulationen zur Erstellung von Stücklisten verwenden. Einige ERP- oder MRP-Systeme (Manufacturing Resource Planning) enthalten ebenfalls Stücklistenmodule. Die ERP- oder MRP-Systeme können die Stücklistendaten dann für die Planung, das Änderungsmanagement und andere Funktionen nutzen.

Dieser Artikel ist im Original in englischer Sprache auf Search Security erschienen.