Detektion von Schwachstellen in On-Premises Systemumgebungen mittels Software-Bill-Of-Materials (SBOMs), I Made Paundra Daran
I Made Paundra Daran
Kurzfassung
Mit dem Aufkommen von Supply-Chain-Cyberangriffen wie dem XZ-Angriff, der auch Linux-Distributionen betraf, wird die Überwachung der in einem System verwendeten Komponenten immer dringlicher. Die Zeitspanne, bis eine Schwachstelle entdeckt wird, kann erheblich sein. Daher ist es für Organisationen entscheidend, Schwachstellen in ihren Systemkomponenten zeitnah zu erkennen und darauf zu reagieren. Während die Nutzung von Software-Bill-Of-Materials (SBOM) zur Schwachstellenverwaltung etabliert ist, stellt der Einsatz in On-Premises- und Air-Gapped- Systemumgebungen ein relativ neues Forschungsgebiet dar. Diese Arbeit untersucht die Effektivität der Schwachstellenerkennung mittels SBOMs in solchen Umgebungen und entwickelt eine Lösung zur Softwareinventarisierung, die in einen Schwachstellenscanner integriert werden kann.
Schlagwörter: Software-Bill-of-Materials, Cybersicherheit, Schwachstellenmanagement, Softwareinventarisierung, Air-Gapped-Systeme, On-Premises-Systeme
Abstract
With the rise of supply chain cyber-attacks such as the XZ attack, which also affected Linux distributions, the need to monitor system components has become increasingly urgent. The time required to discover a vulnerability can be significant, making it imperative for organisations to identify and respond to vulnerabilities in their system components promptly. While the use of Software Bill of Materials (SBOM) for vulnerability management is well established, its application in on-premises and air-gapped system environments remains a relatively new area of research. This thesis investigates the effectiveness of using SBOMs for vulnerability detection in such Environments and develops a software inventory solution that can be integrated with a vulnerability scanner.
Keywords: Software Bill of Materials, Cybersecurity, Vulnerability Management, Software Inventory, Air-gapped Systems, On-premises Systems