Организации сталкиваются с надвигающимися угрозами кибербезопасности из-за неадекватного контроля за ИТ-активами

Организации сталкиваются с надвигающимися угрозами кибербезопасности из-за неадекватного контроля за ИТ-активами

ITAM не является чем-то одноразовым; это непрерывный процесс, который требует регулярной оценки и корректировки в соответствии с меняющимися потребностями бизнеса.

РИГЕЛЬСВИЛЬ, Пенсильвания (PRWEB) Июль 18, 2023

Управление ИТ-активами (ITAM) использует финансовую, договорную и инвентарную информацию для мониторинга и принятия стратегических решений относительно ИТ-активов. Его основная цель — обеспечить эффективное и результативное использование ИТ-ресурсов. Сокращая количество используемых активов и продлевая срок их службы, ITAM помогает избежать дорогостоящих обновлений. Понимание общей стоимости владения и улучшение использования активов являются неотъемлемыми аспектами ITAM. (1) Уолт Шабловски, основатель и исполнительный председатель компании Eracent, которая уже более двух десятилетий обеспечивает полную прозрачность сетей своих крупных корпоративных клиентов, советует: «ITAM не является чем-то одноразовым; это непрерывный процесс, который требует регулярной оценки и корректировки в соответствии с меняющимися потребностями бизнеса. Он играет решающую роль в более широкой стратегии кибербезопасности и должен быть легко интегрирован в процессы управления ИТ-услугами организации и структуру управления рисками».

ИТ-активы включают в себя аппаратное и программное обеспечение, такое как операционные системы, компьютеры и серверы. Активы могут быть «материальными» (устройства) или «нематериальными» (программное обеспечение). Управление ИТ-активами включает в себя выявление, отслеживание и обслуживание отдельных активов посредством регулярных обновлений, решение проблем с функциональностью, предоставление напоминаний о продлении подписки и обеспечение замены или обновления ИТ-активов, когда они устаревают и не могут получать обновления безопасности.(2)

Управление ИТ-программным и аппаратным обеспечением включает в себя выявление и управление кибер-уязвимостями. Все активы имеют уязвимости кибербезопасности, поэтому управление киберугрозами имеет важное значение. Новый процесс выявления уязвимостей программного обеспечения с открытым исходным кодом, связанных с приобретенным программным обеспечением, содержится в спецификации программного обеспечения (SBOM), которая теперь является частью документации, предоставляемой издателями программного обеспечения.

Спецификация программного обеспечения (SBOM) представляет собой полный перечень компонентов, библиотек и модулей, необходимых для создания конкретного программного обеспечения и соответствующих взаимоотношений в цепочке поставок. Исследования показывают, что 37% установленного программного обеспечения не используется. Удаление неиспользуемого программного и аппаратного обеспечения снижает уязвимости и предотвращает ненужные расходы. За счет уменьшения поверхности атаки общий риск безопасности сводится к минимуму.(3)

ITAM выходит за рамки инвентаризации активов, используя собранные данные для повышения ценности бизнеса. Это снижает затраты, устраняет отходы и повышает эффективность, избегая ненужного приобретения активов и оптимизируя текущие ресурсы. ITAM обеспечивает более быструю и точную миграцию, обновление и изменение, повышая гибкость организации.(4)

Программное обеспечение с открытым исходным кодом (OSS) широко используется в разработке современных приложений. Однако отчет об анализе безопасности и рисков с открытым исходным кодом (OSSRA) за 2023 год, в котором рассматриваются уязвимости и конфликты лицензий, обнаруженные примерно в 1,700 базах кода в 17 отраслях, выявляет значительные эксплуатационные опасности. Значительное количество кодовых баз содержит неактивные компоненты OSS, которые не получали обновлений или не разрабатывались в течение как минимум двух лет. Это указывает на отсутствие обслуживания и подвергает программное обеспечение риску. Отчет показывает, что высокий процент (от 88% до 91%) кодовых баз устарел, содержит неактивные компоненты или не подвергался недавней разработке.(5)

Программное обеспечение с открытым исходным кодом подпадает под действие законов об авторском праве, и его использование в приложении требует от организаций соблюдения соответствующих условий лицензии. Чтобы обеспечить соблюдение требований, многие компании имеют специальные юридические ресурсы или персонал, обладающий знаниями в вопросах открытого исходного кода. Использование программного обеспечения с открытым исходным кодом без соблюдения лицензионных требований может привести к юридическим нарушениям и ответственности. Поскольку примерно 80% современных приложений с открытым исходным кодом составляют примерно 6% современных приложений, организациям следует проявлять осторожность в отношении нераскрытого использования открытого исходного кода. Владельцы авторских прав, а также некоммерческие организации, поддерживающие движение за программное обеспечение с открытым исходным кодом, могут активно возбуждать судебные иски против нарушений, которые могут нанести финансовый и репутационный ущерб.(XNUMX)

Лицензии с открытым исходным кодом бывают двух основных типов: разрешительные и с авторским левом. Разрешительные лицензии требуют указания имени первоначального разработчика с минимальными дополнительными требованиями, в то время как лицензии с авторским левом, такие как General Public License (GPL), способствуют совместному использованию кода, но несут риски для коммерческого программного обеспечения. Организации полагаются на SBOM для навигации по сложным цепочкам поставок программного обеспечения, выявления слабых мест, отслеживания использования открытого исходного кода и обеспечения соответствия лицензиям. Включение лицензий в SBOM помогает организациям вести полную инвентаризацию и сокращать юридические обязательства. Несоблюдение лицензий на открытый исходный код может привести к юридическим спорам и потере прав интеллектуальной собственности. Включение лицензий в SBOM помогает организациям повысить прозрачность, доверие и соблюдение требований в цепочках поставок программного обеспечения.(7)

Программное обеспечение с открытым исходным кодом сделало цепочки поставок более сложными и менее прозрачными, что увеличило вероятность кибератак. Gartner прогнозирует, что к 2025 году 45% организаций по всему миру подвергнутся атакам на цепочки поставок программного обеспечения. Важно поддерживать прозрачность использования программного обеспечения с открытым исходным кодом и оперативно устранять любые выявленные области уязвимости. (8) Группы по управлению программными активами должны быть частью своих групп по кибербезопасности и вносить в них свой вклад. Разрушив эти две разрозненные структуры, они становятся сплоченной командой по управлению рисками. А при покупке программного обеспечения или заключении контракта с кем-либо на его создание они должны обеспечить SBOM, который является жизненно важным компонентом управления и снижения рисков.

Управление жизненным циклом отслеживает каждый аспект владения активами и лицензиями, от приобретения до выбытия. Инструменты управления ИТ-услугами (ITSM), базы данных управления конфигурацией (CMDB) и инструменты управления активами программного обеспечения (SAM) недостаточны для комплексного управления жизненным циклом. Этим решениям не хватает необходимой детализации, и они приведут к неполным сводкам о собственности, ограничивая возможность максимизировать стоимость активов и минимизировать затраты. Чтобы добиться эффективного управления жизненным циклом, организации должны отслеживать все активы и лицензии в своей ИТ-среде. Поддерживая выделенный репозиторий, они создают надежную основу для каждого актива и лицензии.(9)

Эрасента Жизненный цикл ITMC™ обеспечивает комплексное управление жизненным циклом всех активов и лицензий, обеспечивая непрерывное отслеживание от планирования и приобретения до обновления и утилизации. Данные, собранные в жизненном цикле ITMC, обеспечивают основу для многих действий, включая запросы конечных пользователей, закупки, SAM, управление жизненным циклом оборудования, ITSM, безопасность сети и конечных точек, автоматизированные рабочие процессы, составление бюджета, планирование и многое другое. Кроме того, система облегчает отслеживание, составление отчетов и автоматические оповещения о контрактах, соглашениях и финансовых транзакциях.

Шабловски отмечает: «С точки зрения управления ИТ-активами это похоже на Дикий Запад. Есть подрывной элемент. Идея состоит в том, что если программное обеспечение пришло из такого источника, как Microsoft, то оно должно быть пригодным для использования. Но там может быть что-то такое, что с точки зрения безопасности может оказаться бомбой замедленного действия. И если ваша внутренняя группа разработчиков приложений или нанятый вами поставщик используют неправильный тип лицензии, ваша компания заплатит высокую цену. Это настоящий ящик Пандоры. Но в этом случае вам действительно придется заглянуть под крышку».

О компании

Уолт Шабловски является основателем и исполнительным председателем Eracent, а также председателем дочерних компаний Eracent (Eracent SP ZOO, Варшава, Польша; Eracent Private LTD в Бангалоре, Индия, и Eracent, Бразилия). Eracent помогает своим клиентам решать задачи управления активами ИТ-сетей, лицензиями на программное обеспечение и кибербезопасностью в современных сложных и развивающихся ИТ-средах. Корпоративные клиенты Eracent значительно экономят свои ежегодные расходы на программное обеспечение, снижают риски аудита и безопасности и внедряют более эффективные процессы управления активами. Клиентская база Eracent включает некоторые из крупнейших в мире корпоративных и государственных сетей и ИТ-сред. Десятки компаний из списка Fortune 500 полагаются на решения Eracent для управления и защиты своих сетей. Чтобы узнать больше, посетите https://eracent.com/.

Ссылки:

1. Что такое управление активами (ИТАМ)?. ИБМ. (без даты). https://www.ibm.com/cloud/blog/it-asset-management

2. Тровато, С. (2022 декабря 28 г.). Что такое управление активами? Форбс. https://www.forbes.com/advisor/business/it-asset-management/

3. Эрасент. (2018, 19 июня). Связь между кибербезопасностью и Itam. Эрасент. https://eracent.com/the-linkage-between-cybersecurity-and-itam/

4. Шуффани Р., Холак Б., Маклафлин Э. (2022 апреля 18 г.). Что такое управление активами (ITAM)?. ИТ-директор. https://www.techtarget.com/searchcio/definition/IT-asset-management-information-technology-asset-management

5. [аналитический отчет] отчет о безопасности и анализе с открытым исходным кодом. Синопсис. (без даты). https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html?intcmp=sig-blog-sctrust

6. 08, BTMJ, Авторы, Микро; Research, T., Trend Micro, Research, Us, C., Подпишитесь. (2021, 8 июля). Как преодолевать риски лицензирования открытого исходного кода. Тренд Микро. https://www.trendmicro.com/en_us/research/21/g/navigating-open-source-licensing-risk.html

7. Интерлинк. (2023, 12 июня). Лицензии открытого ПО в сбоме. Середина. https://medium.com/@interlynkblog/open-source-licenses-in-sboms-9ee6f6dc1941

8. Каллинан, М. (2022 августа 31 г.). Установление доверия в вашей цепочке поставок программного обеспечения с помощью SBOM. Канал ИТАМ. https://itamchannel.com/establishing-trust-in-your-software-supply-chain-with-an-sbom/

9. AppStorePlus PG1 финальная версия LR – eracent. (н-й). https://eracent.com/wp-content/uploads/2020/09/ITMCLifecycle-data-sheet-0820-IAITAM2020.pdf    

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
• Источник: https://www.prweb.com/releases/organizations_face_looming_cybersecurity_threats_due_to_inadequate_it_asset_oversight/prweb19446964.htm