A szervezetek kiberbiztonsági fenyegetésekkel néznek szembe az informatikai eszközök nem megfelelő felügyelete miatt

A szervezetek kiberbiztonsági fenyegetésekkel néznek szembe az informatikai eszközök nem megfelelő felügyelete miatt

Az ITAM nem egy-és kész; ez egy folyamatos folyamat, amely rendszeres értékelést és kiigazítást igényel a változó üzleti igényekhez való igazodás érdekében.

RIEGELSVILLE, Pa. (PRWEB) Július 18, 2023

Az IT vagyonkezelés (ITAM) pénzügyi, szerződéses és leltári információkat használ fel az IT-eszközök nyomon követésére és stratégiai döntések meghozatalára. Elsődleges célja az informatikai erőforrások hatékony és eredményes felhasználásának biztosítása. A használatban lévő eszközök számának csökkentésével és élettartamuk meghosszabbításával az ITAM segít elkerülni a költséges frissítéseket. A teljes birtoklási költség megértése és az eszközök kihasználtságának javítása az ITAM szerves része.(1) Walt Szablowski, az Eracent alapítója és ügyvezető elnöke, amely több mint két évtizede teljes rálátást biztosít nagyvállalati ügyfelei hálózataira, azt tanácsolja: „ITAM nem egy-és kész; ez egy folyamatos folyamat, amely rendszeres értékelést és kiigazítást igényel a változó üzleti igényekhez való igazodás érdekében. Kulcsfontosságú szerepet játszik a tágabb kiberbiztonsági stratégiában, és zökkenőmentesen kell integrálni a szervezet IT-szolgáltatáskezelési folyamataiba és kockázatkezelési keretrendszerébe.”

Az informatikai eszközök közé tartoznak a hardverek és a szoftverek, például operációs rendszerek, számítógépek és szerverek. Az eszközök lehetnek „kézzelfoghatóak” (eszközök) vagy „immateriálisak” (szoftver). Az informatikai eszközkezelés magában foglalja az egyes eszközök azonosítását, nyomon követését és karbantartását rendszeres frissítések révén, a funkcionalitási problémák megoldását, az előfizetés megújítására vonatkozó emlékeztetők biztosítását, valamint annak biztosítását, hogy az informatikai eszközöket lecseréljék vagy frissítsék, ha azok elavulnak és nem tudják fogadni a biztonsági frissítéseket.(2)

Az IT szoftverek és hardverek kezelése magában foglalja a kibersebezhetőségek azonosítását és kezelését. Minden eszköz rendelkezik kiberbiztonsági sebezhető pontokkal, ezért elengedhetetlen a kiberfenyegetések kezelése. A megvásárolt szoftverekhez kapcsolódó nyílt forráskódú szoftverek sebezhetőségeinek azonosítására szolgáló új eljárást a Software Bill of Materials (SBOM) tartalmazza, amely mostantól a szoftverkiadók által biztosított dokumentáció része.

A Software Bill of Materials (SBOM) egy átfogó leltár az egyes szoftverek létrehozásához szükséges összetevőkről, könyvtárakról és modulokról, valamint azok megfelelő ellátási lánc kapcsolatairól. Tanulmányok kimutatták, hogy a telepített szoftverek 37%-a használaton kívül marad. A nem használt szoftverek és hardverek eltávolítása csökkenti a sebezhetőségeket és megakadályozza a felesleges kiadásokat. A támadási felület csökkentésével az általános biztonsági kockázat minimálisra csökken.(3)

Az ITAM túlmutat az eszközkészleten azáltal, hogy felhasználja a rögzített adatokat az üzleti érték növelésére. Csökkenti a költségeket, kiküszöböli a pazarlást és javítja a hatékonyságot azáltal, hogy elkerüli a szükségtelen eszközbeszerzéseket és optimalizálja a jelenlegi erőforrásokat. Az ITAM gyorsabb és pontosabb migrációt, frissítést és változtatást tesz lehetővé, fokozva a szervezeti agilitást.(4)

A nyílt forráskódú szoftvereket (OSS) széles körben használják a modern alkalmazásfejlesztésben. A 2023-as nyílt forráskódú biztonsági és kockázatelemzési (OSSRA) jelentés azonban, amely a 1,700 iparág nagyjából 17 kódbázisában feltárt sebezhetőségeket és licenckonfliktusokat vizsgálja, jelentős működési veszélyeket tár fel. Számos kódbázis tartalmaz alvó OSS-összetevőket, amelyek legalább két éve nem kaptak frissítést vagy fejlesztési tevékenységet. Ez a karbantartás hiányát jelzi, és veszélyezteti a szoftvert. A jelentés azt mutatja, hogy a kódbázisok nagy százaléka, 88-91%-a elavult, inaktív komponenseket tartalmaz, vagy nem kapott a közelmúltban fejlesztési tevékenységet(5).

A nyílt forráskódú szoftverekre a szerzői jogi törvények vonatkoznak, és alkalmazásban történő felhasználása megköveteli a szervezetektől a kapcsolódó licencfeltételek betartását. A megfelelőség biztosítása érdekében sok vállalkozás rendelkezik külön jogi erőforrásokkal vagy nyílt forráskódú ügyekben jártas személyzettel. A nyílt forráskódú szoftverek licenckövetelmények betartása nélkül történő használata jogsértésekhez és felelősségvállaláshoz vezethet. Mivel a nyílt forráskód a modern alkalmazások körülbelül 80%-át teszi ki, a szervezeteknek óvatosnak kell lenniük a nem nyilvános nyílt forráskódú használattal kapcsolatban. A szerzői jog tulajdonosai, valamint a nyílt forráskódú szoftverek mozgalmát támogató nonprofit szervezetek aktívan folytathatnak jogi lépéseket a jogsértések ellen, amelyek anyagi és jó hírnévi károkat okozhatnak.(6)

A nyílt forráskódú licenceknek két fő típusa van: permissive és copyleft. A megengedő licencek megkövetelik az eredeti fejlesztőhöz való hozzárendelést minimális további követelményekkel, míg a copyleft licencek, például a General Public License (GPL) elősegítik a kódmegosztást, de kockázatot hordoznak a kereskedelmi szoftverek esetében. A szervezetek az SBOM-okra támaszkodnak az összetett szoftver-ellátási láncokban való navigáláshoz, a gyengeségek azonosításához, a nyílt forráskódú használat nyomon követéséhez és a licencnek való megfelelés biztosításához. A licencek bevonása az SBOM-ba segít a szervezeteknek átfogó leltár fenntartásában és a jogi kötelezettségek csökkentésében. A nyílt forráskódú licencek be nem tartása jogi vitákat és a szellemi tulajdonjogok elvesztését eredményezheti. A licencek SBOM-ba foglalása segíti a szervezeteket az átláthatóság, a bizalom és a megfelelőség előmozdításában a szoftverellátási láncokon belül.(7)

A nyílt forráskódú szoftverek bonyolultabbá és kevésbé átláthatóvá tették az ellátási láncokat, növelve a kibertámadások lehetőségét. A Gartner előrejelzése szerint 2025-re világszerte a szervezetek 45%-a tapasztal majd szoftver-ellátási lánc támadásokat. Fontos a nyílt forráskódú szoftverhasználat láthatóságának fenntartása, és az azonosított sebezhetőségi területek azonnali kezelése.(8) A szoftvervagyon-kezelő csapatoknak kiberbiztonsági csapataik részét kell képezniük, és közreműködniük kell abban. E két siló lebontásával összetartó kockázatkezelési csapattá válnak. És amikor szoftvert vásárol vagy szerződtet valakivel annak elkészítésére, biztosítania kell az SBOM-ot, amely a kockázatkezelés és -csökkentés létfontosságú eleme.

Az életciklus-kezelés nyomon követi az eszközök és licencek tulajdonjogának minden aspektusát, a beszerzéstől a selejtezésig. Az IT-szolgáltatáskezelési (ITSM) eszközök, a konfigurációkezelési adatbázisok (CMDB-k) és a szoftvereszköz-kezelő (SAM) eszközök nem elegendőek az átfogó életciklus-kezeléshez. Ezek a megoldások nem tartalmazzák a szükséges részleteket, és hiányos tulajdonjogi összefoglalókat eredményeznek, ami korlátozza az eszközök értékének maximalizálását és a költségek minimalizálását. A hatékony életciklus-menedzsment elérése érdekében a szervezeteknek nyomon kell követniük minden eszközt és licencet informatikai környezetükben. Egy dedikált adattár fenntartásával megbízható kiindulópontot teremtenek minden eszközhöz és licenchez.(9)

Eracenté ITMC Lifecycle™ átfogó életciklus-vagyonkezelést biztosít minden eszköz és licenc számára, folyamatos nyomon követést biztosítva a tervezéstől és a beszerzéstől a frissítésig és selejtezésig. Az ITMC Lifecycle-ban rögzített adatok számos tevékenység alapját képezik, beleértve a végfelhasználói kéréseket, a beszerzést, a SAM-et, a hardver életciklus-kezelését, az ITSM-et, a hálózat- és végpontbiztonságot, az automatizált munkafolyamatokat, a költségvetést, a tervezést és még sok mást. Ezenkívül a rendszer megkönnyíti a szerződések, megállapodások és pénzügyi tranzakciók nyomon követését, jelentését és automatikus figyelmeztetését.

Szablowski megjegyzi: „IT vagyonkezelési szempontból olyan, mint a vadnyugat. Van egy felforgató elem. Úgy gondolják, hogy ha a szoftver olyan forrásból származik, mint a Microsoft, akkor jónak kell lennie. De lehet benne valami, ami biztonsági szempontból egy időzített bomba lehet. Ha pedig a belső alkalmazásfejlesztő csapata vagy az Ön által bérelt szállító rossz licenctípust használ, akkor vállalata magas árat fog fizetni. Ez egy igazi Pandora szelencéje. De ebben az esetben valójában a fedél alá kell nézni.

Eracentről

Walt Szablowski az Eracent alapítója és ügyvezető elnöke, valamint az Eracent leányvállalatainak elnöke (Eracent SP ZOO, Varsó, Lengyelország; Eracent Private LTD Bangalore-ban, India és Eracent Brazília). Az Eracent segít ügyfeleinek abban, hogy megfeleljenek az IT-hálózati eszközök, a szoftverlicencek és a kiberbiztonság kezelésével kapcsolatos kihívásoknak a mai összetett és fejlődő informatikai környezetekben. Az Eracent vállalati ügyfelei jelentősen megtakarítják éves szoftverköltségeiket, csökkentik az auditálási és biztonsági kockázataikat, és hatékonyabb vagyonkezelési folyamatokat alakítanak ki. Az Eracent ügyfélbázisa magában foglalja a világ legnagyobb vállalati és kormányzati hálózatait és informatikai környezeteit. Több tucat Fortune 500 vállalat támaszkodik az Eracent megoldásaira hálózataik kezelésében és védelmében. Ha többet szeretne megtudni, látogasson el https://eracent.com/.

Referenciák:

1. Mi az a vagyonkezelés (ITAM)?. IBM. (nd). https://www.ibm.com/cloud/blog/it-asset-management

2. Trovato, S. (2022, december 28.). Mi az a vagyonkezelés?. Forbes. https://www.forbes.com/advisor/business/it-asset-management/

3. Eracent. (2018, június 19.). A kiberbiztonság és az Itam közötti kapcsolat. Eracent. https://eracent.com/the-linkage-between-cybersecurity-and-itam/

4. Chouffani, R., Holak, B., McLaughlin, E. (2022, április 18.). Mi az a vagyonkezelés (ITAM)?. CIO. https://www.techtarget.com/searchcio/definition/IT-asset-management-information-technology-asset-management

5. [elemzői jelentés] nyílt forráskódú biztonsági és elemzési jelentés. Szinopsziák. (nd). https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html?intcmp=sig-blog-sctrust

6. 08, BTMJ, Szerzők, Micro; Research, T., Trend Micro, Research, Us, C., Feliratkozás. (2021, július 8.). Hogyan lehet eligazodni a nyílt forráskódú licencelési kockázatokban. Trend Micro. https://www.trendmicro.com/en_us/research/21/g/navigating-open-source-licensing-risk.html

7. Interlynk. (2023, június 12.). Nyílt forráskódú licencek az sboms-ban. Közepes. https://medium.com/@interlynkblog/open-source-licenses-in-sboms-9ee6f6dc1941

8. Callinan, M. (2022, augusztus 31.). A bizalom megteremtése a szoftverellátási láncban SBOM segítségével. ITAM csatorna. https://itamchannel.com/establishing-trust-in-your-software-supply-chain-with-an-sbom/

9. AppStorePlus PG1 végleges LR – eracent. (nd). https://eracent.com/wp-content/uploads/2020/09/ITMCLifecycle-data-sheet-0820-IAITAM2020.pdf    

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
• Forrás: https://www.prweb.com/releases/organizations_face_looming_cybersecurity_threats_due_to_inadequate_it_asset_oversight/prweb19446964.htm