يعد الترقيع طريقة مهمة لعزل المخاطر ولضمان عدم مقاطعة سير العمل بسبب السماح للبرامج بالخروج من الإصدارات التي يمكن دعمها.
• خطر أمني الناتج عن ثغرات أمنية لم يتم إصلاحها يعد أمرًا جوهريًا - تحقيقات خرق البيانات لعام 2022 من Verizon تقرير اكتشفت أن حوالي 70٪ من الهجمات الإلكترونية الناجحة استغلت نقاط الضعف المعروفة ذات التصحيحات المتاحة.
ومع ذلك ، في كثير من الأحيان ، يجب على فرق تكنولوجيا المعلومات اختيار العناصر العاجلة التي تلفت انتباههم ، مما يخلق سيناريو حيث تقف المهام العاجلة في طريق المهام الهامة. من خلال الاستعانة بمصادر خارجية لإدارة التصحيح ، والمعروفة أيضًا باسم التصحيح كخدمة ، يمكن للمؤسسات تحويل عبء ضمان اكتمال عملية التصحيح باستمرار إلى طرف ثالث.
يجب الحفاظ على التحكم والشفافية
يمكن أن يوفر الترقيع الناتج عن الاستعانة بمصادر خارجية وقت المنظمة ومالها. يمكن أن يؤدي أيضًا إلى تحسين الأمان. يوفر نموذج الاستعانة بمصادر خارجية لقادة الأمن اتفاقية مستوى خدمة يمكن التحقق منها (SLA) لضمان أن الاستثمار يحمي المؤسسة.
يحذر Darryl MacLeod ، vCISO في Lares Consulting ، شركة أمن المعلومات ، من أن "هناك بعض التحديات التي تأتي مع الترقيع الخارجي". "على سبيل المثال ، قد تفقد المؤسسة بعض السيطرة على إدارة التصحيح ، وقد لا تكون عملية إدارة التصحيح شفافة كما لو كانت إدارة التصحيح تتم داخليًا."
ويضيف أن الترقيع كخدمة ربما يكون أكثر فاعلية للمؤسسات الصغيرة والمتوسطة الحجم التي لا تملك الموارد اللازمة للتصحيح داخليًا ، ولكنها قد تكون مفيدة أيضًا للمؤسسات التي لديها احتياجات معقدة لإدارة التصحيح.
أضافت شركة إدارة البيانات والتحليلات Aunalytics مؤخرًا نظامًا أساسيًا لإدارة الترقيع كخدمة مُدار بشكل مشترك إلى مجموعة حلول الأمان الخاصة بها. يشير نائب رئيس الشركة ، ستيفن بورديك ، إلى أن التحديات الأمنية لكل مؤسسة تتطور كل يوم.
يقول: "يطرق الممثلون السيئون أي باب يمكنهم العثور عليه على أمل أنك لم تقم بإصلاح محطة عمل أو تطبيق رئيسي تابع لجهة خارجية مثل Acrobat Reader". "ومع ذلك ، على الرغم من جهودك لتأمين بيئتك من خلال سد الفتحات ، يستمر ظهور مآثر جديدة لم يتم اكتشافها بعد."
يجادل بأن الاستعانة بمصادر خارجية للتصحيح الأمني وأنظمة الحماية من الفيروسات / البرامج الضارة تسمح للمؤسسات باستثمار وقت أعضاء فريقها في المجالات التي يمكن أن تحصل فيها الشركة على أفضل قيمة.
"إن تعيين FTE أو جزء من FTE لشخص ما لإدارة منصات التصحيح والأمان يتطلب استثمارات إضافية في الوقت والسفر والتدريب التي لا تزيد إلا قليلاً عن إعداد موظفي تكنولوجيا المعلومات لدورهم التالي في شركة أخرى" ، كما يقول.
الدفع لطرف ثالث لتحمل المسؤولية
يوضح مايك باركين ، كبير المهندسين التقنيين في شركة فولكان سايبر ، وهي مزود SaaS لمعالجة المخاطر الإلكترونية للمؤسسات ، أن الاستعانة بمصادر خارجية لتصحيح الترقيع كخدمة هو مجموعة فرعية من عمليات الاستعانة بمصادر خارجية لتكنولوجيا المعلومات ، حيث تقوم المنظمة بتحويل المسؤولية إلى طرف ثالث.
يقول: "هناك الكثير من الأسباب التي تجعل المؤسسات تستعين بمصادر خارجية لهذه المهام ، على الرغم من أن توفير التكاليف وعدم الاضطرار إلى إدارة قسم داخلي لتكنولوجيا المعلومات هما سببان شائعان".
مثل MacLeod ، يشير إلى أن هناك أيضًا تحديات. على سبيل المثال ، يتعين على المنظمة أن تعتمد على كفاءة ونزاهة البائع للتعامل مع القضايا الحرجة للمهمة دون الإشراف الذي يأتي مع الأصول الداخلية.
يقول باركين إن البرنامج الناجح سيتطلب أدوات دقيقة وقوية لإدارة الأصول ، لذلك يعرف البائع ما هو موجود في بيئة العميل.
ويضيف: "سيحتاجون إلى وظيفة إدارة التصحيح المضمنة أو المتوافقة". "من الناحية المثالية ، سيكون لديهم مدخلات من ماسحات الثغرات الأمنية ومنصة لإدارة المخاطر لمساعدتهم في تحديد أولويات التصحيحات الأكثر أهمية."
خدمات الترقيع تعتمد على الأتمتة
يتوقع MacLeod أنه نظرًا لأن إدارة التصحيح أصبحت أكثر تعقيدًا ، فمن المحتمل أن يقدم موفرو التصحيح كخدمة حلولًا أكثر شمولاً تشمل برامج إدارة التصحيح ومستودعات التصحيح وأدوات نشر التصحيح وخدمات أخرى.
يقوم برنامج إدارة التصحيح بأتمتة عملية الترقيع ؛ مخزن التصحيح يخزن البقع ويديرها ؛ وأدوات نشر التصحيح لنشر التصحيحات على الأنظمة.
ويضيف: "من المرجح أن يستمر مقدمو الخدمات في توسيع قاعدة عملائهم من خلال تقديم خدمات التصحيح لأنواع أكثر من المؤسسات".
ويشير إلى أن سوق الترقيع كخدمة ينمو في السنوات الأخيرة مع قيام المزيد من المؤسسات بالاستعانة بمصادر خارجية لإدارة التصحيح.
يقول ماكلويد: "من المتوقع أن يستمر هذا النمو حيث تصبح عملية الترقيع مهمة معقدة وتستغرق وقتًا طويلاً".
الاستعانة بمصادر خارجية تعوض عن ندرة الموارد البشرية
يقول بورديك إن Aunalytics ترى الكثير من الاهتمام في صناعة الرعاية الصحية ، وشركات الخدمات المهنية ، و حكومة، حيث يصعب جذب المواهب في مجال تكنولوجيا المعلومات والاحتفاظ بها.
ويضيف أن الشركات المصنعة غالبًا ما تكون من أوائل المتبنين لهذا النوع من الحلول لأنهم يدركون أنه يجب عليهم التطور باستمرار للمنافسة.
يقول بورديك إن الدفع مقابل هذه الخدمات في نموذج "كخدمة" يمنع المؤسسات من دفع تكاليف التدريب والسفر لأعضاء فريق أمن تكنولوجيا المعلومات ، بالإضافة إلى تكلفة استبدال الموظفين وإعادة تدريبهم عندما يكون المورد الداخلي للشركة غادر.
"الشركات اليوم لا تجد صعوبة في شراء التكنولوجيا ؛ يقول بورديك إن الأشخاص الذين يستخدمون التكنولوجيا والحفاظ عليها تعمل بكفاءة هم من يصعب جدًا الحصول عليهم في هذا الاقتصاد.
