A javítás kritikus módszer a kockázatok elkülönítésére és annak biztosítására, hogy a munkafolyamatok ne szakadjanak meg, mivel lehetővé teszik a szoftverek kiesését a támogatott verziókból.
A biztonsági kockázat A kijavítatlan sebezhetőségek eredménye jelentős – a Verizon 2022-es adatszivárgási vizsgálatai jelentést a sikeres kibertámadások körülbelül 70%-a ismert sebezhetőséget használt ki a rendelkezésre álló javításokkal.
Az informatikai csapatoknak azonban túl gyakran kell kiválasztaniuk, hogy mely sürgős dolgok kapják a figyelmüket, ami azt a forgatókönyvet hozza létre, hogy a sürgős feladatok akadályozzák a fontos feladatokat. A javítások kezelésének (vagy más néven javításnak szolgáltatásként) kiszervezésével a szervezetek harmadik félre háríthatják át a javítási folyamat következetes befejezésének biztosításának terhét.
Az ellenőrzést, az átláthatóságot fenn kell tartani
A javítások kiszervezésével időt és pénzt takaríthat meg a szervezet. Ez a biztonság növeléséhez is vezethet. Az outsource modell a biztonsági vezetők számára egy ellenőrizhető szolgáltatási szint megállapodást (SLA) biztosít, amely garantálja, hogy a befektetés megvédi a szervezetet.
„Van néhány kihívás, ami a javítások kiszervezésével jár” – figyelmeztet Darryl MacLeod, a Lares Consulting információbiztonsági cég vCISO-ja. "Például előfordulhat, hogy egy szervezet elveszíti az ellenőrzést a javítások kezelése felett, és előfordulhat, hogy a javításkezelési folyamat nem olyan átlátható, mint akkor, ha a javítások kezelését házon belül végeznék."
Hozzáteszi, hogy a javításként szolgáltatás valószínűleg a leghatékonyabb kis- és közepes méretű szervezetek számára, amelyeknek nincs forrásuk a házon belüli javításhoz, de előnyös lehet a komplex javításkezelési igényű szervezetek számára is.
Az Aunalytics adatkezelő és elemző cég a közelmúltban egy közösen kezelt javításként szolgáltatás platformmal bővítette biztonsági megoldásait. A cég alelnöke, Steven Burdick rámutat, hogy a biztonsági kihívások minden szervezet számára napról napra fejlődnek.
„A rossz színészek minden ajtón kopogtatnak, és reménykednek abban, hogy nem javított ki egy munkaállomást vagy olyan kulcsfontosságú harmadik féltől származó alkalmazást, mint az Acrobat Reader” – mondja. „Még annak ellenére, hogy a nyílászárók lebontásával igyekezett megóvni környezetét, továbbra is felbukkannak új, még fel nem fedezett kizsákmányolások.”
Azzal érvel, hogy a biztonsági javítások és a vírusirtó/kártevő védelmi platformok kiszervezése lehetővé teszi a szervezetek számára, hogy csapattagjaik idejét azokra a területekre fordítsák, ahol a vállalkozás a legjobb értéket tudja elérni.
„Ha FTE-t vagy annak egy részét valakinek kiosztani a javítási és biztonsági platformok kezelésével, további idő-, utazás- és képzési befektetésekre van szükség, amelyek nem tesznek többet, mint felkészítik az IT-személyzetet egy másik vállalatnál betöltött következő szerepükre” – mondja.
Harmadik fél fizetése a felelősségvállalásért
Mike Parkin, a Vulcan Cyber vezető műszaki mérnöke, a vállalati kiberkockázat-elhárítás SaaS-szolgáltatója elmagyarázza, hogy a javítás kiszervezése a javítás mint szolgáltatás szállítóhoz az IT-műveletek kiszervezésének egy részhalmaza, mivel a szervezet felelősséget hárít egy harmadik fél.
„Sok oka van annak, hogy a szervezetek kiszervezik ezeket a feladatokat, bár két gyakori ok a költségmegtakarítás és a belső IT-részleg kezelésének hiánya” – mondja.
MacLeodhoz hasonlóan ő is rámutat, hogy vannak kihívások is. Egyrészt a szervezetnek a szállító hatékonyságára és integritására kell támaszkodnia, hogy a küldetéskritikus kérdéseket a házon belüli eszközök felügyelete nélkül tudja megoldani.
Parkin szerint egy sikeres programhoz pontos és robusztus vagyonkezelési eszközökre lesz szükség, így a szállító tudja, mi zajlik az ügyfél környezetében.
„Szükségük lesz egy mellékelt vagy kompatibilis javításkezelő funkcióra” – teszi hozzá. "Ideális esetben a sebezhetőség-ellenőrzők és egy kockázatkezelési platform bemenetei lesznek, amelyek segítenek nekik rangsorolni a legfontosabb javításokat."
A javítási szolgáltatások automatizálásra támaszkodnak
A MacLeod előrejelzése szerint a javítások kezelésének összetettebbé válásával a javítás mint szolgáltatás szolgáltatók valószínűleg átfogóbb megoldásokat kínálnak majd, amelyek magukban foglalják a javításkezelő szoftvereket, a javítási tárolókat, a javítástelepítési eszközöket és egyéb szolgáltatásokat.
A javításkezelő szoftver automatizálja a javítási folyamatot; a javítások tárolója tárolja és kezeli a javításokat; és a javítások telepítésére szolgáló eszközöket használnak a javítások rendszerekhez való telepítéséhez.
„A szolgáltatók valószínűleg továbbra is bővíteni fogják ügyfélkörüket azáltal, hogy többféle szervezetnek kínálnak javítási szolgáltatásokat” – teszi hozzá.
Rámutat arra, hogy a javítások szolgáltatásként piaca az elmúlt években nőtt, mivel egyre több szervezet szervezi ki a javítások kezelését.
„Ez a növekedés várhatóan folytatódni fog, mivel a javítás egyre összetettebb és időigényesebb feladattá válik” – mondja MacLeod.
Az outsourcing pótolja a szűkös humánerőforrást
Burdick szerint az Aunalytics nagy érdeklődést tapasztal az egészségügyi ágazat, a professzionális szolgáltató cégek és a kormány, ahol az informatikai tehetségeket nehéz megnyerni és megtartani.
Hozzáteszi, hogy a gyártók gyakran korán alkalmazzák az ilyen típusú megoldásokat, mert felismerik, hogy folyamatosan fejlődniük kell ahhoz, hogy versenyezzenek.
Ha ezekért a szolgáltatásokért „szolgáltatásként” modellben fizet, a szervezeteknek nem kell fizetniük az IT-biztonsági csapat tagjainak képzési és utazási költségeit, mondja Burdick, valamint a személyzet lecserélésének és átképzésének költségeit, ha a vállalat belső erőforrásai elhagy.
„A mai vállalkozások nem küzdenek a technológia megvásárlásával; Ebben a gazdaságban nagyon nehéz beszerezni a technológiát használó és hatékonyan működő embereket” – mondja Burdick.
