Організації стикаються з нависаючими загрозами кібербезпеці через неналежний нагляд за ІТ-активами

Організації стикаються з нависаючими загрозами кібербезпеці через неналежний нагляд за ІТ-активами

ITAM не є одноразовим; це безперервний процес, який вимагає регулярної оцінки та коригування відповідно до мінливих потреб бізнесу.

РІГЕЛСВІЛЛЬ, Пенсильванія (PRWEB) Липень 18, 2023

Управління ІТ-активами (ITAM) використовує фінансову, договірну та інвентарну інформацію для моніторингу та прийняття стратегічних рішень щодо ІТ-активів. Основна мета — забезпечити ефективне та ефективне використання ІТ-ресурсів. Зменшуючи кількість використовуваних активів і подовжуючи термін їх служби, ITAM допомагає уникнути дорогих оновлень. Розуміння загальної вартості володіння та покращення використання активів є невід’ємними аспектами ITAM.(1) Уолт Шабловскі, засновник і виконавчий голова компанії Eracent, яка забезпечує повну видимість мереж своїх великих корпоративних клієнтів протягом більше двох десятиліть, радить: «ITAM не є одноразовим; це безперервний процес, який вимагає регулярної оцінки та коригування відповідно до мінливих потреб бізнесу. Він відіграє вирішальну роль у ширшій стратегії кібербезпеки та має бути бездоганно інтегрований у процеси управління ІТ-послугами організації та систему управління ризиками».

ІТ-активи включають апаратне та програмне забезпечення, наприклад операційні системи, комп’ютери та сервери. Активи можуть бути «матеріальними» (пристрої) або «нематеріальними» (програмне забезпечення). Управління ІТ-активами включає ідентифікацію, відстеження та підтримку окремих активів шляхом регулярних оновлень, вирішення функціональних проблем, надання нагадувань про поновлення підписки та забезпечення заміни або оновлення ІТ-активів, коли вони застаріють і не зможуть отримувати оновлення безпеки.(2)

Управління ІТ-програмним та апаратним забезпеченням включає виявлення кібер-вразливостей і керування ними. Усі активи мають вразливі місця для кібербезпеки, тому керування кіберзагрозами є важливим. Новий процес виявлення вразливостей програмного забезпечення з відкритим вихідним кодом, пов’язаних із придбаним програмним забезпеченням, міститься в описі матеріалів програмного забезпечення (SBOM), який тепер є частиною документації, що надається видавцями програмного забезпечення.

Специфікація матеріалів програмного забезпечення (SBOM) — це вичерпний перелік компонентів, бібліотек і модулів, необхідних для створення певного програмного забезпечення та відповідних зв’язків у ланцюжку поставок. Дослідження показують, що 37% встановленого програмного забезпечення залишається невикористаним. Видалення невикористаного програмного та апаратного забезпечення зменшує вразливість і запобігає непотрібним витратам. Зменшуючи поверхню атаки, загальний вплив на безпеку мінімізується.(3)

ITAM виходить за межі інвентаризації активів, використовуючи зібрані дані для підвищення цінності бізнесу. Це зменшує витрати, усуває відходи та підвищує ефективність, уникаючи непотрібних придбань активів та оптимізуючи поточні ресурси. ITAM забезпечує швидшу та точнішу міграцію, оновлення та зміни, підвищуючи гнучкість організації.(4)

Програмне забезпечення з відкритим кодом (OSS) широко використовується в сучасній розробці програм. Однак у звіті про безпеку та аналіз ризиків із відкритим кодом (OSSRA) за 2023 рік, у якому розглядаються вразливості та конфлікти ліцензій, виявлені приблизно в 1,700 кодових базах у 17 галузях, виявлено значні операційні ризики. Значна кількість кодових баз містить неактивні компоненти OSS, які не отримували оновлень або не розроблялися принаймні два роки. Це вказує на відсутність технічного обслуговування та загрожує програмному забезпеченню. Звіт показує, що високий відсоток, від 88% до 91%, кодових баз є застарілими, містять неактивні компоненти або останнім часом не розроблялися.(5)

Програмне забезпечення з відкритим кодом підпадає під дію законів про авторське право, і використання його в програмі вимагає від організацій дотримання відповідних умов ліцензії. Щоб забезпечити відповідність, багато компаній мають спеціальні юридичні ресурси або персонал, який обізнаний у питаннях відкритого коду. Використання програмного забезпечення з відкритим кодом без дотримання вимог ліцензії може призвести до юридичних порушень і відповідальності. З відкритим вихідним кодом, що становить приблизно 80% сучасних програм, організації повинні бути обережними щодо нерозголошеного використання відкритого коду. Власники авторських прав, а також некомерційні організації, які підтримують рух програмного забезпечення з відкритим кодом, можуть активно подавати позов проти порушень, які можуть завдати фінансової та репутаційної шкоди.(6)

Ліцензії з відкритим кодом бувають двох основних типів: дозвільні та копілефт. Дозвільні ліцензії вимагають посилання на оригінального розробника з мінімальними додатковими вимогами, тоді як ліцензії з копілефтом, такі як General Public License (GPL), сприяють спільному використанню коду, але несуть ризики для комерційного програмного забезпечення. Організації покладаються на SBOM для навігації по складним ланцюгам постачання програмного забезпечення, виявлення слабких місць, відстеження використання відкритого коду та забезпечення відповідності ліцензії. Включення ліцензій до SBOM допомагає організаціям вести повну інвентаризацію та зменшити юридичну відповідальність. Недотримання ліцензій на відкрите програмне забезпечення може призвести до судових суперечок і втрати прав інтелектуальної власності. Включення ліцензій до SBOM допомагає організаціям сприяти прозорості, довірі та відповідності в рамках ланцюгів постачання програмного забезпечення.(7)

Програмне забезпечення з відкритим вихідним кодом зробило ланцюги поставок більш складними та менш прозорими, збільшивши потенціал для кібератак. Gartner прогнозує, що до 2025 року 45% організацій у всьому світі зазнають атак на ланцюг поставок програмного забезпечення. Важливо стежити за використанням програмного забезпечення з відкритим вихідним кодом і негайно вирішувати будь-які виявлені області вразливості. (8) Групи управління активами програмного забезпечення повинні бути частиною своїх команд з кібербезпеки та брати участь у них. Знищивши ці дві групи, вони стають згуртованою командою з управління ризиками. І купуючи програмне забезпечення або укладаючи контракт з кимось на його створення, вони повинні забезпечити SBOM, що є життєво важливим компонентом управління та зменшення ризиків.

Управління життєвим циклом відстежує всі аспекти власності на активи та ліцензії, від придбання до вибуття. Інструментів керування IT-послугами (ITSM), баз даних керування конфігураціями (CMDB) і інструментів керування програмними активами (SAM) недостатньо для комплексного керування життєвим циклом. У цих рішеннях бракує необхідних деталей, і вони призведуть до неповних підсумків власності, що обмежує можливість максимізувати вартість активів і мінімізувати витрати. Щоб досягти ефективного управління життєвим циклом, організації повинні відстежувати всі активи та ліцензії у своєму ІТ-середовищі. Підтримуючи спеціальне сховище, вони встановлюють надійну базову лінію для кожного активу та ліцензії.(9)

Ерасента ITMC Lifecycle™ забезпечує комплексне управління активами життєвого циклу для всіх активів і ліцензій, забезпечуючи безперервне відстеження від планування й придбання до оновлення й утилізації. Дані, зібрані в ITMC Lifecycle, забезпечують основу для багатьох видів діяльності, включаючи запити кінцевих користувачів, закупівлі, SAM, управління життєвим циклом обладнання, ITSM, безпеку мережі та кінцевих точок, автоматизовані робочі процеси, бюджетування, планування тощо. Крім того, система полегшує відстеження, звітування та автоматичні сповіщення про контракти, угоди та фінансові операції.

Шабловський зазначає: «З точки зору управління ІТ-активами, це як дикий захід. Є підривний елемент. Думка полягає в тому, що якщо програмне забезпечення надійшло з такого джерела, як Microsoft, воно повинно бути готовим до використання. Але там може бути щось, що може бути бомбою уповільненої дії з точки зору безпеки. І якщо ваша внутрішня команда розробників програм або найнятий вами постачальник використовує неправильний тип ліцензії, ваша компанія заплатить високу ціну. Це справжня скринька Пандори. Але в цьому випадку вам насправді потрібно дивитися під кришку».

Про Eracent

Волт Шабловський є засновником і виконавчим головою Eracent, а також є головою дочірніх компаній Eracent (Eracent SP ZOO, Варшава, Польща; Eracent Private LTD в Бангалорі, Індія, і Eracent Бразилія). Eracent допомагає своїм клієнтам вирішувати проблеми управління ІТ-мережевими активами, ліцензіями на програмне забезпечення та кібербезпекою в сучасних складних ІТ-середовищах, що розвиваються. Корпоративні клієнти Eracent суттєво економлять на щорічних витратах на програмне забезпечення, зменшують ризики аудиту та безпеки та встановлюють більш ефективні процеси управління активами. Клієнтська база Eracent включає деякі з найбільших у світі корпоративних і урядових мереж і ІТ-середовища. Десятки компаній зі списку Fortune 500 покладаються на рішення Eracent для керування та захисту своїх мереж. Щоб дізнатися більше, відвідайте https://eracent.com/.

Список використаної літератури:

1. Що таке управління активами (ITAM)?. IBM. (nd). https://www.ibm.com/cloud/blog/it-asset-management

2. Тровато, С. (2022, 28 грудня). Що таке управління активами?. Forbes. https://www.forbes.com/advisor/business/it-asset-management/

3. Ерасент. (2018, 19 червня). Зв'язок між кібербезпекою та Itam. Ерасент. https://eracent.com/the-linkage-between-cybersecurity-and-itam/

4. Шуффані, Р., Холак, Б., Маклафлін, Е. (2022, 18 квітня). Що таке управління активами (ITAM)?. CIO. https://www.techtarget.com/searchcio/definition/IT-asset-management-information-technology-asset-management

5. [звіт аналітика] аналітичний звіт із відкритим кодом безпеки. Синопсис. (nd). https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html?intcmp=sig-blog-sctrust

6. 08, BTMJ, Автори, Мікро; Research, T., Trend Micro, Research, Us, C., Subscribe. (2021, 8 липня). Як подолати ризики ліцензування відкритого коду. Trend Micro. https://www.trendmicro.com/en_us/research/21/g/navigating-open-source-licensing-risk.html

7. Інтерлінк. (2023, 12 червня). Ліцензії з відкритим кодом у sboms. Середній. https://medium.com/@interlynkblog/open-source-licenses-in-sboms-9ee6f6dc1941

8. Каллінан, М. (2022, 31 серпня). Встановлення довіри до вашого ланцюга постачання програмного забезпечення за допомогою SBOM. Канал ИТПМ. https://itamchannel.com/establishing-trust-in-your-software-supply-chain-with-an-sbom/

9. AppStorePlus PG1 остаточний LR – eracent. (nd). https://eracent.com/wp-content/uploads/2020/09/ITMCLifecycle-data-sheet-0820-IAITAM2020.pdf    

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
• джерело: https://www.prweb.com/releases/organizations_face_looming_cybersecurity_threats_due_to_inadequate_it_asset_oversight/prweb19446964.htm