Organisaties worden geconfronteerd met dreigende cyberbeveiligingsbedreigingen als gevolg van onvoldoende toezicht op IT-activa

Organisaties worden geconfronteerd met dreigende cyberbeveiligingsbedreigingen als gevolg van onvoldoende toezicht op IT-activa

Tijdstempel: 17 juli 2023 8:00 uur
Organisaties worden geconfronteerd met dreigende cyberbedreigingen als gevolg van onvoldoende toezicht op IT-middelen PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.

Organisaties worden geconfronteerd met dreigende cyberbeveiligingsbedreigingen als gevolg van onvoldoende toezicht op IT-activa

ITAM is geen eenmalig iets; het is een continu proces dat regelmatige evaluatie en aanpassing vereist om aan te sluiten bij de veranderende bedrijfsbehoeften.

RIEGELSVILLE, Pennsylvania (PRWEB) 18 juli 2023

IT Asset Management (ITAM) maakt gebruik van financiële, contractuele en inventarisinformatie om strategische beslissingen met betrekking tot IT-middelen te monitoren en te nemen. Het primaire doel is om een ​​efficiënt en effectief gebruik van IT-middelen te garanderen. Door het aantal gebruikte assets te verminderen en hun levensduur te verlengen, helpt ITAM dure upgrades te voorkomen. Het begrijpen van de totale eigendomskosten en het verbeteren van het gebruik van activa zijn integrale aspecten van ITAM.(1) Walt Szablowski, oprichter en uitvoerend voorzitter van Eracent, dat al meer dan twintig jaar volledig inzicht biedt in de netwerken van zijn grote zakelijke klanten, adviseert: “ITAM is niet eenmalig; het is een continu proces dat regelmatige evaluatie en aanpassing vereist om aan te sluiten bij de veranderende bedrijfsbehoeften. Het speelt een cruciale rol in de bredere cybersecuritystrategie en moet naadloos worden geïntegreerd in de IT-servicemanagementprocessen en het risicomanagementframework van een organisatie.”

IT-middelen omvatten hardware en software, zoals besturingssystemen, computers en servers. Activa kunnen ‘materieel’ (apparaten) of ‘immaterieel’ (software) zijn. Het beheer van IT-middelen omvat het identificeren, volgen en onderhouden van individuele activa door middel van regelmatige updates, het oplossen van functionaliteitsproblemen, het verstrekken van herinneringen voor abonnementsverlenging en het garanderen dat IT-middelen worden vervangen of geüpgraded wanneer ze verouderd raken en geen beveiligingsupdates meer kunnen ontvangen.(2)

Het beheer van IT-software en -hardware omvat de identificatie en het beheer van cyberkwetsbaarheden. Alle activa hebben kwetsbaarheden op het gebied van cyberbeveiliging, dus het beheersen van cyberdreigingen is essentieel. Een nieuw proces voor het identificeren van kwetsbaarheden in open source-software die verband houden met gekochte software is opgenomen in een Software Bill of Materials (SBOM) die nu deel uitmaakt van de documentatie die door software-uitgevers wordt geleverd.

Een Software Bill of Materials (SBOM) is een uitgebreide inventaris van de componenten, bibliotheken en modules die nodig zijn om bepaalde software en hun respectieve supply chain-relaties te bouwen. Uit onderzoek blijkt dat 37% van de geïnstalleerde software ongebruikt blijft. Het verwijderen van ongebruikte software en hardware vermindert kwetsbaarheden en voorkomt onnodige uitgaven. Door het aanvalsoppervlak te verkleinen, wordt de algehele blootstelling aan beveiliging geminimaliseerd.(3)

ITAM gaat verder dan de inventarisatie van activa door vastgelegde gegevens te benutten om de bedrijfswaarde te vergroten. Het verlaagt de kosten, elimineert verspilling en verbetert de efficiëntie door onnodige aanschaf van activa te vermijden en de huidige middelen te optimaliseren. ITAM maakt snellere en nauwkeurigere migraties, upgrades en veranderingen mogelijk, waardoor de wendbaarheid van de organisatie wordt vergroot.(4)

Open-sourcesoftware (OSS) wordt veel gebruikt bij de ontwikkeling van moderne applicaties. Het Open Source Security and Risk Analysis (OSSRA)-rapport uit 2023, waarin de kwetsbaarheden en licentieconflicten worden onderzocht die zijn aangetroffen in ongeveer 1,700 codebases in 17 sectoren, onthult echter aanzienlijke operationele gevaren. Een zorgwekkend aantal codebases bevat slapende OSS-componenten die al minstens twee jaar geen updates of ontwikkelingsactiviteiten hebben ontvangen. Dit duidt op een gebrek aan onderhoud en brengt de software in gevaar. Uit het rapport blijkt dat een hoog percentage, 88% tot 91%, van de codebases verouderd is, inactieve componenten bevat of geen recente ontwikkelingsactiviteit heeft gehad.(5)

Open-sourcesoftware is onderworpen aan auteursrechtwetten en voor het gebruik ervan in een applicatie moeten organisaties zich houden aan de bijbehorende licentievoorwaarden. Om de naleving te garanderen, beschikken veel bedrijven over specifieke juridische middelen of personeel met kennis van open source-zaken. Het gebruik van open source software zonder te voldoen aan de licentievereisten kan leiden tot juridische overtredingen en aansprakelijkheden. Omdat open source ongeveer 80% van de moderne applicaties uitmaakt, moeten organisaties voorzichtig zijn met niet-openbaar gemaakt gebruik van open source. Auteursrechteigenaren, maar ook non-profitorganisaties die de open-sourcesoftwarebeweging ondersteunen, kunnen actief juridische stappen ondernemen tegen schendingen, die financiële schade en reputatieschade kunnen veroorzaken.(6)

Open-sourcelicenties zijn er in twee hoofdtypen: permissief en copyleft. Toegeeflijke licenties vereisen toeschrijving aan de oorspronkelijke ontwikkelaar met minimale aanvullende vereisten, terwijl copyleft-licenties, zoals de General Public License (GPL), het delen van code bevorderen, maar risico's voor commerciële software met zich meebrengen. Organisaties vertrouwen op SBOM's om door complexe softwaretoeleveringsketens te navigeren, zwakke punten te identificeren, open-sourcegebruik te volgen en de naleving van licenties te garanderen. Door licenties in de SBOM op te nemen, kunnen organisaties een uitgebreide inventaris bijhouden en wettelijke aansprakelijkheid verminderen. Het niet naleven van open-sourcelicenties kan leiden tot juridische geschillen en verlies van intellectuele eigendomsrechten. Door licenties op te nemen in een SBOM kunnen organisaties de transparantie, het vertrouwen en de compliance binnen de softwaretoeleveringsketens bevorderen.(7)

Open-sourcesoftware heeft toeleveringsketens complexer en minder transparant gemaakt, waardoor de kans op cyberaanvallen groter is geworden. Gartner voorspelt dat in 2025 45% van de organisaties wereldwijd te maken zal krijgen met software supply chain-aanvallen. Het is belangrijk om de zichtbaarheid van het gebruik van open source-software te behouden en eventuele geïdentificeerde kwetsbaarheden onmiddellijk aan te pakken.(8) Software asset management-teams moeten deel uitmaken van en bijdragen leveren aan hun cyberbeveiligingsteams. Door deze twee silo’s af te breken, worden ze een samenhangend risicobeheerteam. En als ze software kopen of iemand inhuren om deze te bouwen, moeten ze een SBOM veiligstellen, wat een essentieel onderdeel is van risicobeheer en -reductie.

Levenscyclusbeheer volgt elk aspect van het eigendom van activa en licenties, van aanschaf tot verwijdering. IT Service Management (ITSM)-tools, configuratiemanagementdatabases (CMDB's) en software asset management (SAM)-tools zijn niet voldoende voor uitgebreid levenscyclusbeheer. Deze oplossingen missen de noodzakelijke details en zullen resulteren in onvolledige eigendomsoverzichten, waardoor de mogelijkheid wordt beperkt om de waarde van activa te maximaliseren en de kosten te minimaliseren. Om effectief levenscyclusbeheer te realiseren, moeten organisaties alle assets en licenties in hun IT-omgeving volgen. Door een speciale opslagplaats te onderhouden, creëren ze een betrouwbare basis voor elk asset en elke licentie.(9)

Eracent's ITMC Levenscyclus™ biedt uitgebreid beheer van de levenscyclus van activa voor alle activa en licenties, en biedt continue tracking vanaf de planning en aanschaf tot vernieuwing en verwijdering. De gegevens die in ITMC Lifecycle worden vastgelegd, vormen een basis voor veel activiteiten, waaronder verzoeken van eindgebruikers, inkoop, SAM, hardware-levenscyclusbeheer, ITSM, netwerk- en eindpuntbeveiliging, geautomatiseerde workflows, budgettering, planning en meer. Bovendien vergemakkelijkt het systeem het volgen, rapporteren en automatische waarschuwingen voor contracten, overeenkomsten en financiële transacties.

Szablowski merkt op: “Het lijkt wel het wilde westen daarbuiten, vanuit het perspectief van IT-activabeheer. Er zit een subversief element in. De gedachte is dat als de software afkomstig is van een bron als Microsoft, deze goed moet zijn om te gebruiken. Maar er kan iets in zitten dat vanuit veiligheidsoogpunt een tikkende tijdbom kan zijn. En als uw interne applicatieontwikkelingsteam of een door u ingehuurde leverancier het verkeerde licentietype gebruikt, betaalt uw bedrijf een hoge prijs. Het is een echte doos van Pandora. Maar in dit geval moet je eigenlijk onder de deksel kijken.”

Over Eracent

Walt Szablowski is de oprichter en uitvoerend voorzitter van Eracent en fungeert als voorzitter van de dochterondernemingen van Eracent (Eracent SP ZOO, Warschau, Polen; Eracent Private LTD in Bangalore, India, en Eracent Brazilië). Eracent helpt haar klanten de uitdagingen aan te gaan van het beheer van IT-netwerkactiva, softwarelicenties en cyberbeveiliging in de huidige complexe en evoluerende IT-omgevingen. De zakelijke klanten van Eracent besparen aanzienlijk op hun jaarlijkse software-uitgaven, verminderen hun audit- en beveiligingsrisico's en stellen efficiëntere processen voor activabeheer in. Het klantenbestand van Eracent omvat enkele van 's werelds grootste bedrijfs- en overheidsnetwerken en IT-omgevingen. Tientallen Fortune 500-bedrijven vertrouwen op Eracent-oplossingen om hun netwerken te beheren en te beschermen. Ga voor meer informatie naar https://eracent.com/.

Referenties:

1. Wat is vermogensbeheer (ITAM)? IBM. (nd). https://www.ibm.com/cloud/blog/it-asset-management

2. Trovato, S. (2022, 28 december). Wat is vermogensbeheer? Forbes. https://www.forbes.com/advisor/business/it-asset-management/

3. Eracent. (2018, 19 juni). De koppeling tussen cybersecurity en Itam. Eracent. https://eracent.com/the-linkage-between-cybersecurity-and-itam/

4. Chouffani, R., Holak, B., McLaughlin, E. (2022, 18 april). Wat is vermogensbeheer (ITAM)?. CIO. https://www.techtarget.com/searchcio/definition/IT-asset-management-information-technology-asset-management

5. [analistenrapport] open source beveiligings- en analyserapport. Synopsis. (nd). https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html?intcmp=sig-blog-sctrust

6. 08, BTMJ, Auteurs, Micro; Onderzoek, T., Trend Micro, Onderzoek, Ons, C., Abonneren. (2021, 8 juli). Hoe u omgaat met de risico's van open source-licenties. TrendMicro. https://www.trendmicro.com/en_us/research/21/g/navigating-open-source-licensing-risk.html

7. Interlynk. (2023, 12 juni). Open source-licenties in sboms. Medium. https://medium.com/@interlynkblog/open-source-licenses-in-sboms-9ee6f6dc1941

8. Callinan, M. (2022, 31 augustus). Creëer vertrouwen in uw software supply chain met een SBOM. ITAM-kanaal. https://itamchannel.com/establishing-trust-in-your-software-supply-chain-with-an-sbom/

9. AppStorePlus PG1 final LR – ercent. (nd). https://eracent.com/wp-content/uploads/2020/09/ITMCLifecycle-data-sheet-0820-IAITAM2020.pdf    

Tijdstempel:

Meer van Computer beveiliging