Các tổ chức phải đối mặt với các mối đe dọa an ninh mạng tiềm ẩn do giám sát tài sản CNTT không đầy đủ

Các tổ chức phải đối mặt với các mối đe dọa an ninh mạng tiềm ẩn do giám sát tài sản CNTT không đầy đủ

ITAM không phải là việc làm một lần là xong; đó là một quá trình liên tục đòi hỏi phải đánh giá và điều chỉnh thường xuyên để phù hợp với nhu cầu kinh doanh đang phát triển.

RIEGELSVILLE, Pa. (PRWEB) 18 Tháng Bảy, 2023

Quản lý tài sản CNTT (ITAM) sử dụng thông tin tài chính, hợp đồng và hàng tồn kho để giám sát và đưa ra các quyết định chiến lược liên quan đến tài sản CNTT. Mục tiêu chính của nó là đảm bảo sử dụng hiệu quả và hiệu quả các nguồn lực CNTT. Bằng cách giảm số lượng tài sản đang sử dụng và kéo dài tuổi thọ của chúng, ITAM giúp tránh được việc nâng cấp tốn kém. Hiểu tổng chi phí sở hữu và cải thiện việc sử dụng tài sản là những khía cạnh không thể thiếu của ITAM.(1) Walt Szablowski, Người sáng lập và Chủ tịch điều hành của Eracent, công ty đã cung cấp cái nhìn đầy đủ về mạng lưới khách hàng doanh nghiệp lớn của mình trong hơn hai thập kỷ, đưa ra lời khuyên: “ITAM không phải là việc làm một lần; đó là một quá trình liên tục đòi hỏi phải đánh giá và điều chỉnh thường xuyên để phù hợp với nhu cầu kinh doanh đang phát triển. Nó đóng một vai trò quan trọng trong chiến lược an ninh mạng rộng hơn và cần được tích hợp liền mạch vào quy trình quản lý dịch vụ CNTT và khung quản lý rủi ro của tổ chức.”

Tài sản CNTT bao gồm phần cứng và phần mềm, chẳng hạn như hệ điều hành, máy tính và máy chủ. Tài sản có thể là “hữu hình” (thiết bị) hoặc “vô hình” (phần mềm). Quản lý tài sản CNTT liên quan đến việc xác định, theo dõi và duy trì tài sản riêng lẻ thông qua các bản cập nhật thường xuyên, giải quyết các vấn đề về chức năng, cung cấp lời nhắc gia hạn đăng ký và đảm bảo rằng tài sản CNTT được thay thế hoặc nâng cấp khi chúng trở nên lỗi thời và không thể nhận được các bản cập nhật bảo mật.(2)

Quản lý Phần mềm và phần cứng CNTT bao gồm việc xác định và quản lý các lỗ hổng mạng. Tất cả tài sản đều có lỗ hổng bảo mật mạng, vì vậy việc quản lý các mối đe dọa mạng là điều cần thiết. Một quy trình mới xác định các lỗ hổng phần mềm nguồn mở liên quan đến phần mềm đã mua được chứa trong Hóa đơn nguyên liệu phần mềm (SBOM) hiện là một phần của tài liệu do nhà xuất bản phần mềm cung cấp.

Danh mục nguyên liệu phần mềm (SBOM) là bản kiểm kê toàn diện các thành phần, thư viện và mô-đun cần thiết để xây dựng một phần mềm cụ thể và các mối quan hệ chuỗi cung ứng tương ứng của chúng. Các nghiên cứu tiết lộ rằng 37% phần mềm đã cài đặt không được sử dụng. Loại bỏ phần mềm và phần cứng không sử dụng sẽ làm giảm các lỗ hổng và ngăn ngừa các chi tiêu không cần thiết. Bằng cách giảm bề mặt tấn công, rủi ro bảo mật tổng thể được giảm thiểu.(3)

ITAM mở rộng ra ngoài kho tài sản bằng cách tận dụng dữ liệu đã thu thập để tăng giá trị kinh doanh. Nó giảm chi phí, loại bỏ lãng phí và cải thiện hiệu quả bằng cách tránh mua lại tài sản không cần thiết và tối ưu hóa các nguồn lực hiện tại. ITAM cho phép di chuyển, nâng cấp và thay đổi nhanh hơn và chính xác hơn, nâng cao tính linh hoạt của tổ chức.(4)

Phần mềm mã nguồn mở (OSS) được sử dụng rộng rãi trong phát triển ứng dụng hiện đại. Tuy nhiên, báo cáo Phân tích rủi ro và bảo mật nguồn mở (OSSRA) năm 2023, kiểm tra các lỗ hổng và xung đột giấy phép được tìm thấy trong khoảng 1,700 cơ sở mã trên 17 ngành, cho thấy các mối nguy hiểm đáng kể trong hoạt động. Một số cơ sở mã liên quan có chứa các thành phần PMNM không hoạt động đã không nhận được các bản cập nhật hoặc hoạt động phát triển trong ít nhất hai năm. Điều này cho thấy sự thiếu bảo trì và khiến phần mềm gặp rủi ro. Báo cáo cho thấy rằng một tỷ lệ cao, từ 88% đến 91%, cơ sở mã đã lỗi thời, chứa các thành phần không hoạt động hoặc không nhận được hoạt động phát triển nào gần đây.(5)

Phần mềm nguồn mở tuân theo luật bản quyền và việc sử dụng phần mềm này trong một ứng dụng yêu cầu các tổ chức tuân thủ các điều khoản cấp phép liên quan. Để đảm bảo tuân thủ, nhiều doanh nghiệp có nguồn lực pháp lý chuyên dụng hoặc nhân viên am hiểu về các vấn đề nguồn mở. Sử dụng phần mềm nguồn mở mà không tuân thủ các yêu cầu về giấy phép có thể dẫn đến vi phạm pháp luật và trách nhiệm pháp lý. Với nguồn mở bao gồm khoảng 80% ứng dụng hiện đại, các tổ chức phải thận trọng về việc sử dụng nguồn mở không được tiết lộ. Chủ sở hữu bản quyền, cũng như các tổ chức phi lợi nhuận ủng hộ phong trào phần mềm nguồn mở, có thể tích cực theo đuổi hành động pháp lý chống lại các hành vi vi phạm có thể gây thiệt hại về tài chính và danh tiếng.(6)

Giấy phép nguồn mở có hai loại chính: dễ dãi và copyleft. Giấy phép cho phép yêu cầu ghi công cho nhà phát triển ban đầu với các yêu cầu bổ sung tối thiểu, trong khi giấy phép copyleft, như Giấy phép Công cộng Chung (GPL), khuyến khích chia sẻ mã nhưng mang lại rủi ro cho phần mềm thương mại. Các tổ chức dựa vào SBOM để điều hướng chuỗi cung ứng phần mềm phức tạp, xác định điểm yếu, theo dõi việc sử dụng nguồn mở và đảm bảo tuân thủ giấy phép. Bao gồm các giấy phép trong SBOM giúp các tổ chức duy trì một kho lưu trữ toàn diện và giảm trách nhiệm pháp lý. Việc không tuân thủ giấy phép nguồn mở có thể dẫn đến tranh chấp pháp lý và mất quyền sở hữu trí tuệ. Bao gồm giấy phép trong SBOM giúp các tổ chức thúc đẩy tính minh bạch, tin cậy và tuân thủ trong chuỗi cung ứng phần mềm.(7)

Phần mềm nguồn mở đã làm cho chuỗi cung ứng trở nên phức tạp hơn và kém minh bạch hơn, làm tăng khả năng xảy ra các cuộc tấn công mạng. Gartner dự đoán rằng đến năm 2025, 45% tổ chức trên toàn thế giới sẽ gặp phải các cuộc tấn công chuỗi cung ứng phần mềm. Điều quan trọng là phải duy trì khả năng hiển thị trong việc sử dụng phần mềm nguồn mở và giải quyết kịp thời mọi khu vực dễ bị tổn thương đã xác định. (8) Các nhóm quản lý tài sản phần mềm nên là một phần và là người đóng góp cho các nhóm an ninh mạng của họ. Bằng cách phá vỡ hai silo này, họ trở thành một nhóm quản lý rủi ro gắn kết. Và khi mua phần mềm hoặc ký hợp đồng với ai đó để xây dựng phần mềm đó, họ phải bảo đảm một SBOM, đây là một thành phần quan trọng trong việc quản lý và giảm thiểu rủi ro.

Quản lý vòng đời theo dõi mọi khía cạnh của quyền sở hữu tài sản và giấy phép, từ việc mua lại đến xử lý. Các công cụ Quản lý Dịch vụ CNTT (ITSM), cơ sở dữ liệu quản lý cấu hình (CMDB) và các công cụ quản lý tài sản phần mềm (SAM) là không đủ để quản lý vòng đời toàn diện. Các giải pháp này thiếu chi tiết cần thiết và sẽ dẫn đến tóm tắt quyền sở hữu không đầy đủ, hạn chế khả năng tối đa hóa giá trị tài sản và giảm thiểu chi phí. Để đạt được quản lý vòng đời hiệu quả, các tổ chức phải theo dõi tất cả tài sản và giấy phép trong môi trường CNTT của họ. Bằng cách duy trì một kho lưu trữ chuyên dụng, họ thiết lập một cơ sở đáng tin cậy cho mọi nội dung và giấy phép.(9)

của Eracent Vòng đời ITMC™ cung cấp quản lý tài sản vòng đời toàn diện cho tất cả tài sản và giấy phép, cung cấp khả năng theo dõi liên tục từ việc lập kế hoạch và mua lại thông qua làm mới và bố trí. Dữ liệu được thu thập trong Vòng đời ITMC cung cấp nền tảng cho nhiều hoạt động, bao gồm yêu cầu của người dùng cuối, mua sắm, SAM, quản lý vòng đời phần cứng, ITSM, bảo mật mạng và điểm cuối, quy trình làm việc tự động, lập ngân sách, lập kế hoạch, v.v. Ngoài ra, hệ thống tạo điều kiện theo dõi, báo cáo và cảnh báo tự động cho các hợp đồng, thỏa thuận và giao dịch tài chính.

Szablowski lưu ý: “Nó giống như miền Tây hoang dã ngoài kia, từ góc độ quản lý tài sản CNTT. Có yếu tố lật đổ. Người ta nghĩ rằng nếu phần mềm đến từ một nguồn như Microsoft thì nó phải hoạt động tốt. Nhưng có thể có thứ gì đó trong đó có thể là một quả bom hẹn giờ xét theo quan điểm an ninh. Và nếu nhóm phát triển ứng dụng nội bộ của bạn hoặc nhà cung cấp mà bạn thuê sử dụng sai loại giấy phép, công ty của bạn sẽ phải trả giá đắt. Đó là một chiếc Hộp Pandora thật sự. Tuy nhiên, trong trường hợp này, bạn thực sự phải nhìn vào bên trong.”

Về Eracent

Walt Szablowski là Người sáng lập và Chủ tịch điều hành của Eracent, đồng thời là Chủ tịch của các công ty con của Eracent (Eracent SP ZOO, Warsaw, Ba Lan; Eracent Private LTD ở Bangalore, Ấn Độ và Eracent Brazil). Eracent giúp khách hàng của mình đáp ứng những thách thức trong việc quản lý tài sản mạng CNTT, giấy phép phần mềm và an ninh mạng trong môi trường CNTT phức tạp và đang phát triển ngày nay. Các khách hàng doanh nghiệp của Eracent tiết kiệm đáng kể chi phí phần mềm hàng năm, giảm rủi ro kiểm toán và bảo mật, đồng thời thiết lập các quy trình quản lý tài sản hiệu quả hơn. Cơ sở khách hàng của Eracent bao gồm một số mạng công ty và chính phủ cũng như môi trường CNTT lớn nhất thế giới. Hàng chục công ty trong danh sách Fortune 500 dựa vào các giải pháp của Eracent để quản lý và bảo vệ mạng của họ. Để tìm hiểu thêm, hãy truy cập https://eracent.com/.

Tài liệu tham khảo:

1. Quản lý tài sản (ITAM) là gì?. IBM. (nd). https://www.ibm.com/cloud/blog/it-asset-management

2. Trovato, S. (2022, ngày 28 tháng XNUMX). Quản lý tài sản là gì?. Forbes. https://www.forbes.com/advisor/business/it-asset-management/

3. Kỷ nguyên. (2018, ngày 19 tháng XNUMX). Mối liên kết giữa an ninh mạng và Itam. kỷ nguyên. https://eracent.com/the-linkage-between-cybersecurity-and-itam/

4. Chouffani, R., Holak, B., McLaughlin, E. (2022, ngày 18 tháng XNUMX). Quản lý tài sản (ITAM) là gì?. CIO. https://www.techtarget.com/searchcio/definition/IT-asset-management-information-technology-asset-management

5. [báo cáo phân tích] báo cáo phân tích và bảo mật mã nguồn mở. Bản tóm tắt. (nd). https://www.synopsys.com/software-integrity/resources/analyst-reports/open-source-security-risk-analysis.html?intcmp=sig-blog-sctrust

6. 08, BTMJ, Tác giả, Micro; Nghiên cứu, T., Trend Micro, Nghiên cứu, Chúng tôi, C., Đăng ký. (2021, ngày 8 tháng XNUMX). Cách điều hướng các rủi ro cấp phép nguồn mở. Xu hướng micro. https://www.trendmicro.com/en_us/research/21/g/navigating-open-source-licensing-risk.html

7. Liên kết. (2023, ngày 12 tháng XNUMX). Giấy phép mã nguồn mở trong sboms. Trung bình. https://medium.com/@interlynkblog/open-source-licenses-in-sboms-9ee6f6dc1941

8. Callinan, M. (2022, ngày 31 tháng XNUMX). Thiết lập lòng tin trong chuỗi cung ứng phần mềm của bạn với SBOM. Kênh ITAM. https://itamchannel.com/establishing-trust-in-your-software-supply-chain-with-an-sbom/

9. LR cuối cùng của AppStorePlus PG1 – eracent. (thứ). https://eracent.com/wp-content/uploads/2020/09/ITMCLifecycle-data-sheet-0820-IAITAM2020.pdf    

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
• nguồn: https://www.prweb.com/releases/organizations_face_looming_cybersecurity_threats_due_to_inadequate_it_asset_oversight/prweb19446964.htm