Dow Jones hat von IRW-Press eine Zahlung für die Verbreitung dieser Pressemitteilung über sein Netzwerk erhalten.

TORONTO, 21. September 2021 - Relay Medical Corp. ("Relay" oder das "Unternehmen") (CSE: RELA, OTCQB: RYMDF, Frankfurt: EIY2) freut sich, eine Aufzeichnung des jüngsten Webinars mit dem Titel "State of Cybersecurity Industry - The Roots of SBoM" mit den Hauptrednern Kate Stewart, Steve Springett und Chris Blask, VP of Strategy bei Relay, zur Verfügung zu stellen. Für Relay ist es das zweite einer ganzen Reihe von Webinaren. Die Diskussionsteilnehmer erörterten wichtige Fragen zur Cybersicherheit und setzten sich auch mit der aktuellen Durchführungsverordnung (Executive Order/EO) der Regierung Biden zur Verbesserung der bundesweiten Cybersicherheit auseinander. Die National Telecommunications and Information Administration (NTIA) wurde dabei mit der Festlegung von Sicherheitsstandards einschließlich der Definition von SBoMs beauftragt.

Zu den namhaften Teilnehmern zählten auch:

- Allan Friedman, ehemals Director of Cybersecurity Initiatives bei der NTIA im US-Handelsministerium

- Tom Alrich, derzeit als Co-Leader des ,Energy Sector SBoM Proof of Concept' in der NTIA verantwortlich

Vergangene Woche veranstaltete Relay ein Live-Webinar mit drei führenden Experten im Bereich Cybersicherheit: Kate Stewart, Steve Springett und Chris Blask. Kate Stewart ist Vice President of Dependable Embedded Systems bei der Linux Foundation. Sie gilt als renommierte Innovatorin und führende Entwicklerin von Systemsoftware und Anwendungstools und zählt zum ursprünglichen Gründungsteam des Standardformats Software Package Data eXchange (SPDX). An ihrer Seite: Steve Springett, Chair der Core Working Group zum SBoM-Standard CycloneDX, der sich international als führender Experte für defensives Design, Programmierung und Automatisierung einen Namen gemacht hat. Wieder mit dabei auch Chris Blask, Vice President of Strategy bei Relay und ebenfalls ein angesehener Meinungsbildner, der als innovativer Erfinder an der Entwicklung von Digital Bill of Materials (DBoM), eines der ersten kommerziellen Firewall-Produkte, beteiligt war. Die Podiumsdiskussion wurde vom Branchenexperten Evgeniy Kharam, Co-Moderator des Security Architecture Podcast, moderiert.

Unter den einflussreichen Teilnehmern war auch Allan Friedman, den viele als ,Vater' des SBoM-Konzepts betrachten, weil er das Konzept in die NTIA einbrachte. Als die Diskussionsteilnehmer während der Veranstaltung gefragt wurden, ob SBoMs von Angreifern für die Vorbereitung eines Angriffs genutzt werden könnten, brachte er das Argument der ,Roadmap für den Angreifer'. Allan Friedman ist derzeit bei der Cybersecurity and Infrastructure Security Agency als Senior Advisor und Stratege verantwortlich. Davor beriet er Präsident Joe Biden bei der Erstellung der Durchführungsverordnung https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

, bei der es auch um die Implementierung der SBoM ging.

Richard Brooks, Senior Consultant und Mitbegründer der Firma Reliable Energy Analytics LLC, meinte: "Ich finde die Unterstützung der Community von SPDX und CycloneDX großartig; aus diesem Grund bin ich auch optimistisch, dass SBoM ein Erfolg werden wird."

Tom Alrich, seines Zeichens Co-Leader des ,Energy Sector SBoM Proof of Concept' in der National Technology and Information Administration des US-Handelsministeriums, bejahte mit dem Satz "Der Konzeptnachweis für das Gesundheitswesen ist nach wie vor im Gange" als Chris Blask die Frage aus dem Publikum in Bezug auf die Relevanz des Themas für Medizintechnik und Pharma beantwortete. Chris Blask sagte: "Im medizinischen Bereich gab es ein ,Proof of Concept'-Verfahren, wo das Handelsministerium, die National Telecommunications and Information Center Administration (NTIA), vor eineinhalb Jahren mit der Community zusammengearbeitet hat, um SBoMs bereitzustellen. Und wie bei jeder anderen kritischen Infrastruktur würden wir erwarten, dass das Gesundheitswesen mit dem Markt Schritt hält oder ihm sogar voraus ist. Ich kann mir vorstellen, dass das Gesundheitswesen zu den ersten Anwendern gehört."

Steve Springett beantwortete die Frage von Duncan Sparell, einem Mitglied der Software Component Transparency Working Group der NTIA, der Folgendes wissen wollte: "Zugegebenermaßen haben viele Softwareprojekte noch keine SBoMs, einige aber schon. Könnte uns jeder der Sprecher mitteilen, wie viele SBoMs bereits existieren und einige Beispiele von SBoMs nennen, die ihnen bekannt sind?" Steve Springett erklärte: "Die Frage, welche Projekte tatsächlich von SBoMs profitieren, ist recht vielschichtig. Beispielsweise ist das offene Java Development Kit (JDK) gerade dabei, SBoMs zu erstellen, und es gibt einige andere große ,bibliotheksähnliche' Projekte, also ,Software Development Kit'-Projekte (SDKs), die sich ebenfalls mit einer Aufnahme befassen, was ich toll finde. Betrachtet man jedoch einzelne Bibliotheken, dann stellt sich die Frage, ob es Sinn macht, diese mit SBoMs auszustatten. In der Realität sieht es so aus, dass bei der Wiederverwendung dieser Komponenten in der eigenen Anwendung der Abhängigkeitsgraph erst im Lebenszyklus des eigenen Builds vollständig aufgelöst wird. Für diese Projekte lohnt es sich deutlich weniger, SBoMs anzuschaffen, während bei anderen Projekten SBoMs einen weitaus größeren Nutzen bringen."

Die Aufzeichnung ist im Youtube-Kanal des Unternehmens verfügbar:

https://www.youtube.com/watch?v=jlWPPNuCZTQ&t=740s

Wichtigste Fragen und Antworten

Warum brauchen wir SBoM und wozu? (Zeitstempel 2:42)

Antwort von Kate Stewart: "Mit der ,Software Bill of Materials' beschreibt man, was in der betreffenden Software und in den Systemen enthalten ist. Sie erklärt uns, welche Softwareteile verwendet werden, in welcher Beziehung sie zueinander stehen und welche Quelldateien eine Komponente ausmachen. All das sind Informationen in einer ,Software Bill of Material', die wir benötigen, um den Aufbau zu kennen. Sobald hier eine entsprechende Transparenz gegeben ist, können wir die Automatisierung einrichten, um anstelle der manuellen Kontrolle eine richtige Überwachung zu ermöglichen."

Welche Beispiele aus der Praxis gibt es für SBoM-Implementierungen? (Zeitstempel 5:31)

Antwort von Steve Springett: "Der wichtigste Anwendungsfall, der die SBoM zu einem so brandheißen Thema macht, ist aus meiner Sicht in der Möglichkeit, Schwachstellen in der von uns verwendeten Software zu erkennen. Dabei kann es sich um Software wie einen ,Microservice', einen IoT-Toaster oder eine andere beliebige Software handeln, die jedenfalls Komponenten von Drittanbietern enthält. Auf diesen ,Baublöcken' errichten wir dann die Software, da der Aufbau einer Software von Grund auf ziemlich teuer ist. Wenn wir also Komponenten wiederverwenden, übernehmen wir die Verantwortung für einen Code, den wir nicht selbst geschrieben haben. Aus diesem Grund ist es wichtig, genau sagen zu können, welches Inventar quasi vorhanden ist, wie der Name und die Version dieser Komponenten lautet, woher diese Software stammt und wie sie möglicherweise aufgebaut ist. Damit kann man verschiedene Arten von Analysen des Stammbaums und der Herkunft durchführen und die unterschiedlichen Modifizierungsarten nachvollziehen, die vorgenommen wurden. Wir sind nun endlich in der Lage, folgende Fragen zu beantworten: Wer hat was geschrieben? Was ist in diesem Code enthalten? Wer hat ihn gemacht? Habe ich diesen Code aus einem Land erhalten, mit dem mein Land nicht einverstanden ist? Neben den Schwachstellen, die den eigentlichen Hauptgrund der Einführung der SBoM darstellen, sind all diese unterschiedlichen Anwendungsfälle extrem interessant."

Antwort von Kate Stewart: "Darauf sind wir zum Beispiel bei Amnesia 33 gestoßen, wo wir uns bis zur Ebene der Quelldateien vorarbeiten mussten, um herauszufinden, ob wir von bestimmten Dingen betroffen sind. Was mich an der Automatisierung unter anderem begeistert hat, ist die Möglichkeit, diese Informationen automatisch zu übermitteln. Mit dieser Thematik im Hinblick auf Vex und die Mitteilung von Schlüsselschwachstellen ist derzeit die CSAF-Gruppe (Common Security Advisory Framework) befasst.

Können SBoMs von Angreifern für die Vorbereitung eines Angriffs genutzt werden? (Zeitstempel 13:36)

Antwort von Chris Blask: "Die kurze Antwort ist ,nein', aber hier müssen wir auf die allererste Frage in puncto Sicherheit eingehen. Wenn wir damit beginnen, diese Informationen aufzuschreiben, bedeutet das dann nicht auch, dass all unsere Feinde auf die gesamte Information zugreifen können? Jeder, der im Bereich Sicherheit arbeitet, weiß, die Antwort darauf lautet ,es kommt darauf an'. Wenn man Software besitzt, die in hohem Maße urheberrechtlich geschützt oder anfällig ist, und wenn man nicht will, dass sie in die Hände von Bösewichten oder Konkurrenten fällt, dann sollte man in der Lage sein, sie mit Hilfe der bestehenden operativen Abläufe und der verfügbaren Technologien zu schützen. Wenn man sich jedoch die einzelnen Schritte ansieht, die mit Cyber-Mitteln verbessert bzw. repliziert werden sollen, dann stellt man fest, dass die Unternehmen, die diese Informationen austauschen, in den meisten Fällen Mechanismen zum Schutz dieser Informationen verwenden, die möglicherweise für einen sicheren Austausch nicht ausreichen oder nicht geeignet sind, und dass die verwendeten Prozesse im Einzelfall möglicherweise nicht so sicher sind, wie man eigentlich dachte."

(MORE TO FOLLOW) Dow Jones Newswires

September 21, 2021 07:40 ET (11:40 GMT)