Organisatsioonid seisavad silmitsi ähvardavate küberjulgeolekuohtudega IT-varade ebapiisava järelevalve tõttu

Organisatsioonid seisavad silmitsi ähvardavate küberjulgeolekuohtudega IT-varade ebapiisava järelevalve tõttu

ITAM ei ole üks ja tehtud; see on pidev protsess, mis nõuab regulaarset hindamist ja kohandamist, et viia see vastavusse arenevate ärivajadustega.

RIEGELSVILLE, Pa. (PRWEB) Juuli 18, 2023

IT-varahaldus (ITAM) kasutab IT-varade jälgimiseks ja strateegiliste otsuste tegemiseks finants-, lepinguteavet ja varude teavet. Selle esmane eesmärk on tagada IT-ressursside tõhus ja tulemuslik kasutamine. Vähendades kasutusel olevate varade arvu ja pikendades nende eluiga, aitab ITAM vältida kulukaid uuendusi. Omamise kogumaksumuse mõistmine ja varade kasutamise parandamine on ITAM-i lahutamatud aspektid.(1) Walt Szablowski, Eracenti asutaja ja tegevjuht, kes on pakkunud oma suurettevõtete klientide võrgustikesse juba üle kahe aastakümne, annab nõu: „ITAM ei ole üks ja tehtud; see on pidev protsess, mis nõuab regulaarset hindamist ja kohandamist, et viia see vastavusse arenevate ärivajadustega. Sellel on laiemas küberturvalisuse strateegias ülioluline roll ja see peaks olema sujuvalt integreeritud organisatsiooni IT-teenuste haldusprotsessidesse ja riskijuhtimise raamistikku.

IT-varade hulka kuuluvad riist- ja tarkvara, näiteks operatsioonisüsteemid, arvutid ja serverid. Varad võivad olla "materiaalsed" (seadmed) või "immateriaalsed" (tarkvara). IT-varahaldus hõlmab üksikute varade tuvastamist, jälgimist ja hooldamist regulaarsete värskenduste kaudu, funktsionaalsusprobleemide lahendamist, tellimuse uuendamise meeldetuletuste esitamist ja IT-varade asendamise või täiendamise tagamist, kui need vananevad ja ei saa turvavärskendusi vastu võtta.(2)

IT Tarkvara ja riistvara haldamine hõlmab küberhaavatavuste tuvastamist ja haldamist. Kõigil varadel on küberturvalisuse haavatavused, seega on küberohtude haldamine hädavajalik. Ostetud tarkvaraga seotud avatud lähtekoodiga tarkvara haavatavuste tuvastamise uus protsess sisaldub Software Bill of Materials (SBOM), mis on nüüd osa tarkvara väljaandjate tarnitavast dokumentatsioonist.

Software Bill of Materials (SBOM) on põhjalik nimekiri komponentidest, teekidest ja moodulitest, mis on vajalikud konkreetse tarkvara koostamiseks ning nende vastavate tarneahela suhete loomiseks. Uuringud näitavad, et 37% installitud tarkvarast jääb kasutamata. Kasutamata tarkvara ja riistvara eemaldamine vähendab haavatavusi ja hoiab ära tarbetuid kulutusi. Rünnakupinda vähendades minimeeritakse üldine turvalisus.(3)

ITAM ulatub kaugemale varade laoseisust, võimendades kogutud andmeid äriväärtuse suurendamiseks. See vähendab kulusid, välistab raiskamise ja parandab tõhusust, vältides tarbetut varade soetamist ja optimeerides praeguseid ressursse. ITAM võimaldab kiiremat ja täpsemat migratsiooni, versiooniuuendusi ja muudatusi, suurendades organisatsiooni paindlikkust.(4)

Avatud lähtekoodiga tarkvara (OSS) kasutatakse laialdaselt kaasaegses rakenduste arenduses. 2023. aasta avatud lähtekoodiga turbe- ja riskianalüüsi (OSSRA) aruanne, mis uurib 1,700 tööstusharu ligikaudu 17 koodibaasist leitud haavatavusi ja litsentsikonflikte, paljastab aga olulisi tegevusriske. Paljud koodibaasid sisaldavad seisvaid OSS-i komponente, mis pole saanud värskendusi ega arendustegevust vähemalt kaks aastat. See viitab hoolduse puudumisele ja seab tarkvara ohtu. Aruandest selgub, et suur osa, 88–91%, koodibaasidest on aegunud, sisaldavad passiivseid komponente või pole hiljuti arendustegevust tehtud.(5)

Avatud lähtekoodiga tarkvarale kehtivad autoriõiguse seadused ja selle kasutamine rakenduses nõuab organisatsioonidelt sellega seotud litsentsitingimuste järgimist. Nõuetele vastavuse tagamiseks on paljudel ettevõtetel spetsiaalsed juriidilised ressursid või avatud lähtekoodiga küsimustega kursis olevad töötajad. Avatud lähtekoodiga tarkvara kasutamine litsentsinõudeid järgimata võib kaasa tuua juriidilisi rikkumisi ja vastutust. Avatud lähtekoodiga, mis hõlmab ligikaudu 80% kaasaegsetest rakendustest, peavad organisatsioonid olema ettevaatlikud avalikustamata avatud lähtekoodiga kasutamise suhtes. Autoriõiguste omanikud ja mittetulundusühingud, mis toetavad avatud lähtekoodiga tarkvara liikumist, võivad rikkumiste vastu aktiivselt kohtusse astuda, mis võib põhjustada rahalist ja mainekahjustust.(6)

Avatud lähtekoodiga litsentse on kahte peamist tüüpi: lubavad ja copyleft. Lubavad litsentsid nõuavad algsele arendajale omistamist minimaalsete lisanõuetega, samas kui copyleft-litsentsid, nagu üldine avalik litsents (GPL), soodustavad koodi jagamist, kuid toovad kaasa riske kommertstarkvara puhul. Organisatsioonid tuginevad SBOM-idele, et navigeerida keerulistes tarkvara tarneahelates, tuvastada nõrkusi, jälgida avatud lähtekoodiga kasutamist ja tagada litsentside järgimine. Litsentside lisamine SBOM-i aitab organisatsioonidel hoida kõikehõlmavat inventuuri ja vähendada juriidilisi kohustusi. Avatud lähtekoodiga litsentside mittejärgimine võib kaasa tuua õigusvaidlusi ja intellektuaalomandi õiguste kaotamise. Litsentside lisamine SBOM-i aitab organisatsioonidel edendada tarkvara tarneahelates läbipaistvust, usaldust ja vastavust.(7)

Avatud lähtekoodiga tarkvara on muutnud tarneahelad keerukamaks ja vähem läbipaistvamaks, suurendades küberrünnakute potentsiaali. Gartner ennustab, et aastaks 2025 on 45% organisatsioonidest kogu maailmas kogenud tarkvara tarneahela rünnakuid. Oluline on säilitada nähtavus avatud lähtekoodiga tarkvara kasutamise kohta ja viivitamatult tegeleda tuvastatud haavatavusega.(8) Tarkvaravarahaldusmeeskonnad peaksid olema oma küberturbemeeskondade osad ja nendesse panustajad. Nende kahe silo lõhkudes saab neist ühtne riskijuhtimismeeskond. Ja tarkvara ostmisel või selle ehitamiseks lepingu sõlmimisel peavad nad tagama SBOM-i, mis on riskijuhtimise ja -vähendamise oluline komponent.

Elutsükli haldamine jälgib varade ja litsentside omandiõiguse kõiki aspekte alates omandamisest kuni kõrvaldamiseni. IT-teenuste haldamise (ITSM) tööriistad, konfiguratsioonihalduse andmebaasid (CMDB-d) ja tarkvaravarahalduse (SAM) tööriistad ei ole terviklikuks elutsükli haldamiseks piisavad. Nendel lahendustel puuduvad vajalikud üksikasjad ja nende tulemuseks on mittetäielikud omandiõiguse kokkuvõtted, mis piirab varade väärtuse maksimeerimise ja kulude minimeerimise võimalust. Tõhusa elutsükli haldamise saavutamiseks peavad organisatsioonid jälgima kõiki oma IT-keskkonna varasid ja litsentse. Spetsiaalset hoidlat hoides loovad nad igale varale ja litsentsile usaldusväärse lähtetaseme.(9)

Eracenti oma ITMC Lifecycle™ pakub kõigi varade ja litsentside terviklikku elutsükli varahaldust, pakkudes pidevat jälgimist alates planeerimisest ja hankimisest kuni värskendamise ja utiliseerimiseni. ITMC Lifecycle'i kogutud andmed loovad aluse paljudele tegevustele, sealhulgas lõppkasutajate päringud, hanked, SAM, riistvara elutsükli haldus, ITSM, võrgu- ja lõpp-punktide turvalisus, automatiseeritud töövood, eelarvestamine, planeerimine ja palju muud. Lisaks hõlbustab süsteem lepingute, lepingute ja finantstehingute jälgimist, aruandlust ja automaatseid hoiatusi.

Szablowski märgib: „IT-varahalduse vaatenurgast on see nagu metsik lääs. Seal on õõnestav element. Arvatakse, et kui tarkvara pärines sellisest allikast nagu Microsoft, peab see olema hea. Kuid seal võib olla midagi, mis võib turvalisuse seisukohast olla tiksuv viitsütikuga pomm. Ja kui teie sisemine rakenduste arendusmeeskond või teie palgatud müüja kasutab valet litsentsitüüpi, maksab teie ettevõte kõrget hinda. See on tõeline Pandora laegas. Kuid sel juhul peate tegelikult kaane alla vaatama.

Eracenti kohta

Walt Szablowski on Eracenti asutaja ja tegevjuht ning juhib Eracenti tütarettevõtteid (Eracent SP ZOO, Varssavi, Poola; Eracent Private LTD Bangalores, Indias ja Eracent Brasiilia). Eracent aitab oma klientidel vastata väljakutsetele, mis on seotud IT-võrgu varade, tarkvaralitsentside ja küberturvalisuse haldamisega tänapäeva keerukates ja arenevates IT-keskkondades. Eracenti ärikliendid säästavad märkimisväärselt oma iga-aastaseid tarkvarakulusid, vähendavad auditi- ja turvariske ning loovad tõhusamad varahaldusprotsessid. Eracenti kliendibaas hõlmab mõningaid maailma suurimaid ettevõtete ja valitsusasutuste võrke ning IT-keskkondi. Kümned Fortune 500 ettevõtted kasutavad oma võrkude haldamisel ja kaitsmisel Eracenti lahendusi. Lisateabe saamiseks külastage https://eracent.com/.

viited:

1. Mis on varahaldus (ITAM)?. IBM. (nd). https://www.ibm.com/cloud/blog/it-asset-management

2. Trovato, S. (2022, 28. detsember). Mis see varahaldus on?. Forbes. https://www.forbes.com/advisor/business/it-asset-management/

3. Eratsentne. (2018, 19. juuni). Seos küberturvalisuse ja Itami vahel. Eratsentne. https://eracent.com/the-linkage-between-cybersecurity-and-itam/

4. Chouffani, R., Holak, B., McLaughlin, E. (2022, 18. aprill). Mis see varahaldus (ITAM) on?. CIO. https://www.techtarget.com/searchcio/definition/IT-asset-management-information-technology-asset-management

5. [analüütiku aruanne] avatud lähtekoodiga turbe- ja analüüsiaruanne. Sünopsia. (nd). https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html?intcmp=sig-blog-sctrust

6. 08, BTMJ, Autorid, Mikro; Research, T., Trend Micro, Research, Us, C., Telli. (2021, 8. juuli). Kuidas navigeerida avatud lähtekoodiga litsentsimise riskides. Trend Micro. https://www.trendmicro.com/en_us/research/21/g/navigating-open-source-licensing-risk.html

7. Interlynk. (2023, 12. juuni). Sboms avatud lähtekoodiga litsentsid. Keskmine. https://medium.com/@interlynkblog/open-source-licenses-in-sboms-9ee6f6dc1941

8. Callinan, M. (2022, 31. august). Usalduse loomine tarkvara tarneahelas SBOM-i abil. ITAM kanal. https://itamchannel.com/establishing-trust-in-your-software-supply-chain-with-an-sbom/

9. AppStorePlus PG1 final LR – eracent. (nd). https://eracent.com/wp-content/uploads/2020/09/ITMCLifecycle-data-sheet-0820-IAITAM2020.pdf    

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
• Allikas: https://www.prweb.com/releases/organizations_face_looming_cybersecurity_threats_due_to_inadequate_it_asset_oversight/prweb19446964.htm