Patching er en kritisk metode til at isolere risici og sikre, at arbejdsgange ikke afbrydes, fordi softwaren falder ud af understøttede versioner.
sikkerhedsrisiko som følge af uoprettede sårbarheder er betydelig — Verizons 2022 databrudsundersøgelser indberette fandt, at omkring 70 % af vellykkede cyberangreb udnyttede kendte sårbarheder med tilgængelige patches.
Men alt for ofte skal it-teams vælge, hvilke akutte emner der får deres opmærksomhed, hvilket skaber et scenarie, hvor de akutte opgaver kommer i vejen for vigtige opgaver. Ved at udlicitere patch management, også kendt som patching-as-a-service, kan organisationer flytte byrden med at sikre, at patch-processen gennemføres konsekvent til en tredjepart.
Kontrol, gennemsigtighed skal opretholdes
Outsourcing af patching kan spare en organisation tid og penge. Det kan også føre til forbedret sikkerhed. Outsourcemodellen giver sikkerhedsledere en verificerbar serviceniveauaftale (SLA) for at garantere, at investeringen beskytter organisationen.
"Der er nogle udfordringer, der følger med outsourcing-patching," advarer Darryl MacLeod, vCISO hos Lares Consulting, et informationssikkerhedsfirma. "For eksempel kan en organisation miste en vis kontrol over patch management, og patch management processen er måske ikke så gennemsigtig, som den ville være, hvis patch management blev udført internt."
Han tilføjer, at patching-as-a-service nok er mest effektivt for små og mellemstore organisationer, der ikke har ressourcerne til at patche internt, men det kan også være gavnligt for organisationer med komplekse patch management behov.
Datastyrings- og analysevirksomheden Aunalytics har for nylig tilføjet en fællesstyret patching-as-a-service-platform til sin sikkerhedsløsningspakke. Virksomhedens vicepræsident, Steven Burdick, påpeger, at sikkerhedsudfordringerne for enhver organisation udvikler sig hver dag.
"Dårlige skuespillere banker på enhver dør, som de kan finde håb om, at du ikke har patchet en arbejdsstation eller nøgle tredjepartsapplikation som Acrobat Reader," siger han. "Alligevel, på trods af dine bestræbelser på at sikre dit miljø ved at slå lugerne ned, fortsætter nye, endnu ikke opdagede bedrifter med at dukke op."
Han hævder, at outsourcing af sikkerhedspatch og antivirus/malware-beskyttelsesplatforme giver organisationer mulighed for at investere deres teammedlemmers tid i de områder, hvor virksomheden kan få den bedste værdi.
"At tildele en FTE eller en del af en FTE til nogen til at administrere patch- og sikkerhedsplatforme kræver yderligere investeringer i tid, rejser og uddannelse, der ikke gør andet end at forberede dit it-personale til deres næste rolle i en anden virksomhed," siger han.
At betale en tredjepart for at tage ansvar
Mike Parkin, senior teknisk ingeniør hos Vulcan Cyber, en udbyder af SaaS til afhjælpning af cyberrisici i virksomheder, forklarer, at outsourcing af patching til en patching-as-a-service-leverandør er en delmængde af outsourcing af it-drift, idet en organisation flytter ansvaret til en tredjepart.
"Der er mange grunde til, at organisationer outsourcer disse opgaver, selvom omkostningsbesparelser og ikke at skulle administrere en intern it-afdeling er to almindelige årsager," siger han.
Ligesom MacLeod påpeger han, at der også er udfordringer. For det første er organisationen nødt til at stole på leverandørens effektivitet og integritet for at påtage sig missionskritiske problemer uden det tilsyn, der følger med interne aktiver.
Parkin siger, at et vellykket program vil kræve nøjagtige og robuste værktøjer til aktivstyring, så sælgeren ved, hvad der er live i kundens miljø.
"De skal bruge en inkluderet eller kompatibel patch-administrationsfunktion," tilføjer han. "Ideelt set vil de have input fra sårbarhedsscannere og en risikostyringsplatform for at hjælpe dem med at prioritere de vigtigste patches."
Patching-tjenester er afhængige af automatisering
MacLeod forudser, at efterhånden som patch management bliver mere kompleks, vil patching-as-a-service-udbydere sandsynligvis tilbyde mere omfattende løsninger, der inkluderer patch management software, patch repositories, patch-implementeringsværktøjer og andre tjenester.
Patch management software automatiserer patching processen; et patch-lager gemmer og administrerer patches; og patch-implementeringsværktøjer bruges til at implementere patches til systemer.
"Tjenesteudbydere vil sandsynligvis fortsætte med at udvide deres kundebase ved at tilbyde patching-tjenester til flere typer organisationer," tilføjer han.
Han påpeger, at markedet for patching-as-a-service er vokset i de senere år, efterhånden som flere organisationer outsourcer patch-styring.
"Denne vækst forventes at fortsætte, efterhånden som patching bliver en stadig mere kompleks og tidskrævende opgave," siger MacLeod.
Outsourcing kompenserer for knappe menneskelige ressourcer
Burdick siger, at Aunalytics ser stor interesse for sundhedsindustrien, professionelle servicevirksomheder og Regeringen, hvor it-talenter er svære at tiltrække og fastholde.
Han tilføjer, at producenterne ofte er early adopters af denne type løsninger, fordi de erkender, at de konstant skal udvikle sig for at konkurrere.
At betale for disse tjenester i en "as-a-service"-model udelukker, at organisationer skal betale for uddannelse og rejseomkostninger for medlemmer af IT-sikkerhedsteamet, siger Burdick, såvel som omkostningerne til at udskifte og omskole personale, når virksomhedens interne ressource. forlade.
“Virksomheder i dag kæmper ikke med at købe teknologi; Det er folkene, der skal bruge teknologien og holde den kørende effektivt, som er meget svære at skaffe i denne økonomi,” siger Burdick.
