Kuruluşlar, Yetersiz BT Varlık Gözetimi Nedeniyle Büyüyen Siber Güvenlik Tehditleriyle Karşı Karşıya

Kuruluşlar, Yetersiz BT Varlık Gözetimi Nedeniyle Büyüyen Siber Güvenlik Tehditleriyle Karşı Karşıya

ITAM tek seferde yapılacak bir iş değil; gelişen iş ihtiyaçlarına uyum sağlamak için düzenli değerlendirme ve ayarlamalar gerektiren sürekli bir süreçtir.

RIEGELSVILLE, Pa. (PRWEB) Temmuz 18, 2023

BT varlık yönetimi (ITAM), BT varlıklarını izlemek ve bunlarla ilgili stratejik kararlar almak için finansal, sözleşmeye dayalı ve envanter bilgilerini kullanır. Temel amacı BT kaynaklarının verimli ve etkin kullanımını sağlamaktır. ITAM, kullanımdaki varlık sayısını azaltarak ve ömrünü uzatarak pahalı yükseltmelerin önlenmesine yardımcı olur. Toplam sahip olma maliyetini anlamak ve varlık kullanımını iyileştirmek, ITAM'ın ayrılmaz yönleridir.(1) Yirmi yılı aşkın bir süredir büyük kurumsal müşterilerinin ağlarına tam görünürlük sağlayan Eracent'in Kurucusu ve İcra Kurulu Başkanı Walt Szablowski, şu tavsiyede bulunuyor: "ITAM tek seferde yapılan bir iş değil; gelişen iş ihtiyaçlarına uyum sağlamak için düzenli değerlendirme ve ayarlamalar gerektiren sürekli bir süreçtir. Daha geniş siber güvenlik stratejisinde önemli bir rol oynuyor ve bir kuruluşun BT hizmet yönetimi süreçlerine ve risk yönetimi çerçevesine sorunsuz bir şekilde entegre edilmesi gerekiyor."

BT varlıkları işletim sistemleri, bilgisayarlar ve sunucular gibi donanım ve yazılımları içerir. Varlıklar “somut” (cihazlar) veya “maddi olmayan” (yazılım) olabilir. BT varlık yönetimi, düzenli güncellemeler yoluyla bireysel varlıkların tanımlanmasını, izlenmesini ve sürdürülmesini, işlevsellik sorunlarının çözülmesini, abonelik yenileme hatırlatıcılarının sağlanmasını ve BT varlıklarının geçerliliğini yitirdiğinde ve güvenlik güncellemelerini alamayacak hale geldiğinde değiştirilmesini veya yükseltilmesini sağlamayı içerir.(2)

BT Yazılım ve donanımını yönetmek, siber güvenlik açıklarının tanımlanmasını ve yönetimini içerir. Tüm varlıkların siber güvenlik açıkları vardır, bu nedenle siber tehditleri yönetmek çok önemlidir. Satın alınan yazılımla ilişkili açık kaynak yazılım güvenlik açıklarını belirlemeye yönelik yeni bir süreç, artık yazılım yayıncıları tarafından sağlanan belgelerin bir parçası olan Yazılım Malzeme Listesi'nde (SBOM) yer almaktadır.

Yazılım Malzeme Listesi (SBOM), belirli bir yazılımı ve bunların ilgili tedarik zinciri ilişkilerini oluşturmak için gereken bileşenlerin, kitaplıkların ve modüllerin kapsamlı bir envanteridir. Araştırmalar, yüklü yazılımların %37'sinin kullanılmadığını ortaya koyuyor. Kullanılmayan yazılım ve donanımların kaldırılması, güvenlik açıklarını azaltır ve gereksiz harcamaların önüne geçer. Saldırı yüzeyinin azaltılmasıyla genel güvenlik açığı en aza indirilir.(3)

ITAM, iş değerini artırmak için yakalanan verilerden yararlanarak varlık envanterinin ötesine geçer. Gereksiz varlık alımlarını önleyerek ve mevcut kaynakları optimize ederek maliyeti azaltır, israfı ortadan kaldırır ve verimliliği artırır. ITAM, daha hızlı ve daha hassas geçişlere, yükseltmelere ve değişikliklere olanak tanıyarak kurumsal çevikliği artırır.(4)

Açık kaynaklı yazılım (OSS), modern uygulama geliştirmede yaygın olarak kullanılmaktadır. Ancak 2023 sektörde yaklaşık 1,700 kod tabanında bulunan güvenlik açıklarını ve lisans çakışmalarını inceleyen 17 Açık Kaynak Güvenlik ve Risk Analizi (OSSRA) raporu, önemli operasyonel tehlikeleri ortaya koyuyor. Kayda değer sayıda kod tabanı, en az iki yıldır güncelleme veya geliştirme faaliyeti almayan, hareketsiz OSS bileşenlerini içerir. Bu, bakım eksikliğini gösterir ve yazılımı risk altında bırakır. Rapor, kod tabanlarının %88 ila %91 gibi yüksek bir yüzdesinin güncelliğini yitirdiğini, etkin olmayan bileşenler içerdiğini veya yakın zamanda herhangi bir geliştirme etkinliği almadığını gösteriyor.(5)

Açık kaynaklı yazılım, telif hakkı yasalarına tabidir ve bunu bir uygulamada kullanmak, kuruluşların ilgili lisans koşullarına uymasını gerektirir. Uyumluluğu sağlamak için birçok işletme, özel yasal kaynaklara veya açık kaynak konularında bilgili personele sahiptir. Açık kaynaklı yazılımların lisans gerekliliklerine uyulmadan kullanılması hukuki ihlallere ve yükümlülüklere yol açabilir. Modern uygulamaların yaklaşık %80'ini açık kaynak oluşturduğundan, kuruluşların açıklanmayan açık kaynak kullanımına karşı dikkatli olmaları gerekmektedir. Telif hakkı sahipleri ve açık kaynak yazılım hareketini destekleyen kar amacı gütmeyen kuruluşlar, mali ve itibar kaybına yol açabilecek ihlallere karşı aktif olarak yasal yollara başvurabilirler.(6)

Açık kaynak lisansları iki ana türde gelir: izin veren ve copyleft. İzin verilen lisanslar, minimum ek gereksinimlerle orijinal geliştiriciye atıf yapılmasını gerektirirken, Genel Kamu Lisansı (GPL) gibi copyleft lisansları kod paylaşımını teşvik eder ancak ticari yazılım için riskler taşır. Kuruluşlar, karmaşık yazılım tedarik zincirlerinde gezinmek, zayıf yönleri belirlemek, açık kaynak kullanımını izlemek ve lisans uyumluluğunu sağlamak için SBOM'lara güveniyor. Lisansların SBOM'a dahil edilmesi, kuruluşların kapsamlı bir envanter tutmasına ve yasal yükümlülükleri azaltmasına yardımcı olur. Açık kaynak lisanslarına uyulmaması hukuki anlaşmazlıklara ve fikri mülkiyet haklarının kaybına neden olabilir. Lisansların bir SBOM'a dahil edilmesi, kuruluşların yazılım tedarik zincirlerinde şeffaflığı, güveni ve uyumluluğu desteklemesine yardımcı olur.(7)

Açık kaynaklı yazılım, tedarik zincirlerini daha karmaşık ve daha az şeffaf hale getirerek siber saldırı potansiyelini artırdı. Gartner, 2025 yılına kadar dünya çapındaki kuruluşların %45'inin yazılım tedarik zinciri saldırılarına maruz kalacağını öngörüyor. Açık kaynak yazılım kullanımına ilişkin görünürlüğü sürdürmek ve tespit edilen güvenlik açığı alanlarını derhal ele almak önemlidir.(8) Yazılım varlık yönetimi ekipleri, siber güvenlik ekiplerinin parçası olmalı ve onlara katkıda bulunmalıdır. Bu iki siloyu parçalayarak uyumlu bir risk yönetimi ekibi haline gelirler. Yazılım satın alırken ya da bunu yapması için birisiyle anlaşırken, risk yönetimi ve azaltmanın hayati bir bileşeni olan bir SBOM'u güvence altına almaları gerekir.

Yaşam döngüsü yönetimi, satın almadan elden çıkarmaya kadar varlık ve lisans sahipliğinin her yönünü izler. BT Hizmet Yönetimi (ITSM) araçları, konfigürasyon yönetimi veritabanları (CMDB'ler) ve yazılım varlık yönetimi (SAM) araçları, kapsamlı yaşam döngüsü yönetimi için yeterli değildir. Bu çözümler gerekli ayrıntılara sahip değildir ve sahiplik özetlerinin eksik olmasına neden olacak, bu da varlık değerini en üst düzeye çıkarma ve maliyetleri en aza indirme yeteneğini sınırlayacaktır. Etkin yaşam döngüsü yönetimine ulaşmak için kuruluşların BT ortamlarındaki tüm varlıkları ve lisansları takip etmesi gerekir. Özel bir depo bulundurarak her varlık ve lisans için güvenilir bir temel oluştururlar.(9)

Eracent'in ITMC Yaşam Döngüsü™ tüm varlıklar ve lisanslar için kapsamlı yaşam döngüsü varlık yönetimi sağlayarak planlama ve satın alma aşamasından yenileme ve kullanıma kadar sürekli izleme sağlar. ITMC Yaşam Döngüsü'nde toplanan veriler, son kullanıcı talepleri, satın alma, SAM, donanım yaşam döngüsü yönetimi, ITSM, ağ ve uç nokta güvenliği, otomatik iş akışları, bütçe oluşturma, planlama ve daha fazlası dahil olmak üzere birçok etkinlik için bir temel sağlar. Sistem ayrıca sözleşmeler, anlaşmalar ve finansal işlemler için izlemeyi, raporlamayı ve otomatik uyarıları kolaylaştırır.

Szablowski şunu belirtiyor: “BT varlık yönetimi açısından bakıldığında burası vahşi batıya benziyor. Yıkıcı bir unsur var. Buradaki düşünce, eğer yazılım Microsoft gibi bir kaynaktan geldiyse, gitmenin iyi olması gerektiğidir. Ancak orada güvenlik açısından saatli bomba olabilecek bir şey olabilir. Ve dahili uygulama geliştirme ekibiniz veya kiraladığınız bir satıcı yanlış lisans türünü kullanırsa, şirketiniz yüksek bir bedel ödeyecektir. Bu gerçek bir Pandora'nın Kutusu. Ancak bu durumda aslında kapağın altına bakmanız gerekiyor.”

Eracent Hakkında

Walt Szablowski, Eracent'in Kurucusu ve İcra Kurulu Başkanıdır ve Eracent'in yan kuruluşlarının (Eracent SP ZOO, Varşova, Polonya; Bangalore, Hindistan'daki Eracent Private LTD ve Eracent Brezilya) Başkanı olarak görev yapmaktadır. Eracent, günümüzün karmaşık ve gelişen BT ortamlarında müşterilerinin BT ağ varlıklarını, yazılım lisanslarını ve siber güvenliği yönetme zorluklarını aşmalarına yardımcı olur. Eracent'in kurumsal müşterileri, yıllık yazılım harcamalarından önemli ölçüde tasarruf sağlar, denetim ve güvenlik risklerini azaltır ve daha verimli varlık yönetimi süreçleri oluşturur. Eracent'in müşteri tabanı dünyanın en büyük kurumsal ve kamu ağlarından bazılarını ve BT ortamlarını içermektedir. Düzinelerce Fortune 500 şirketi, ağlarını yönetmek ve korumak için Eracent çözümlerine güveniyor. Daha fazlasını öğrenmek için şu adresi ziyaret edin: https://eracent.com/.

Referanslar:

1. Varlık yönetimi (ITAM) nedir? IBM. (nd). https://www.ibm.com/cloud/blog/it-asset-management

2. Trovato, S. (2022, 28 Aralık). Varlık yönetimi nedir? Forbes. https://www.forbes.com/advisor/business/it-asset-management/

3. Silme. (2018, 19 Haziran). Siber güvenlik ve Itam arasındaki bağlantı. Silinebilir. https://eracent.com/the-linkage-between-cybersecurity-and-itam/

4. Chouffani, R., Holak, B., McLaughlin, E. (2022, 18 Nisan). Varlık yönetimi (ITAM) nedir? CIO. https://www.techtarget.com/searchcio/definition/IT-asset-management-information-technology-asset-management

5. [analist raporu] açık kaynak güvenlik ve analiz raporu. Özet. (nd). https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html?intcmp=sig-blog-sctrust

6, BTMJ, Yazarlar, Mikro; Araştırma, T., Trend Micro, Araştırma, Biz, C., Abone Ol. (08, 2021 Temmuz). Açık kaynak lisanslama risklerinde nasıl gezinilir? Trend Mikro. https://www.trendmicro.com/en_us/research/21/g/navigating-open-source-licensing-risk.html

7. Interlink. (2023, 12 Haziran). Sbom'larda açık kaynak lisansları. Orta. https://medium.com/@interlynkblog/open-source-licenses-in-sboms-9ee6f6dc1941

8. Callinan, M. (2022, 31 Ağustos). Bir SBOM ile yazılım tedarik zincirinizde Güven oluşturma. ITAM Kanalı. https://itamchannel.com/establishing-trust-in-your-software-supply-chain-with-an-sbom/

9. AppStorePlus PG1 son LR – silinebilir. (nd). https://eracent.com/wp-content/uploads/2020/09/ITMCLifecycle-data-sheet-0820-IAITAM2020.pdf    

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
• Kaynak: https://www.prweb.com/releases/organizations_face_looming_cybersecurity_threats_due_to_inadequate_it_asset_oversight/prweb19446964.htm