В то время как управление программными активами традиционно рассматривается лишь как функция минимизации затрат, его потенциал в создании ценности для организации выходит далеко за пределы этой ограниченной точки зрения. Даже самое лучшее решение в области кибербезопасности может резко ослабеть, если системные администраторы не имеют твердого понимания того, где размещены все программные активы компании, используются ли они и кто нуждается в доступе к ним. Совмещая в себе знания по сбору инвентарных данных, SAM дополняет и укрепляет инструменты и процессы безопасности, значительно улучшая способность компании защищать свои данные и системы, а также позволяет снизить операционные риски.
Точка пересечения
Хорошее управление программными активами имеет решающее значение для создания эффективной системы безопасности, направленной на борьбу с кибератаками, которые могут стоить компаниям в среднем $20 млн в год, не говоря уже о долгосрочном репутационном ущербе, который может нанести любая утечка информации. Несмотря на то, что многие организационные процессы и инструменты отвечают требованиям в поддержании определённой информации о программных активах, очень немногие предлагают аналитику, необходимую чтобы помогать ИТ-специалистам управлять сложными мультиплатформенными сетями от различных вендоров в рамках всей ИТ-инфраструктуры. Эффективная практика SAM обеспечивает аналитической информацией о всём программном обеспечении в масштабах предприятия, создавая ценность посредством предоставления менеджерам необходимой картины, позволяющей принимать наиболее обоснованные решения в области кибербезопасности. При интеграции, SAM, а также процессы и инструменты информационной безопасности взаимно усиливают друг друга. SAM помогает минимизировать возможности для атаки предприятия путём предотвращения установки несанкционированного программного обеспечения обнаруживая и удаляя ненужное, лишнее и не поддерживаемое программное обеспечение, устраняя подверженность уязвимостям путём эффективных процессов управления установкой обновлений и патчей, а также проверкой контроля доступа.
Предотвращение установки несанкционированного ПО до его установки
Одна из самых базовых SAM-практик и превентивных мер безопасности - та, которую большинство компаний применяют в полной мере - это составление каталога или списка авторизованного программного обеспечения, из которого бизнес-единицы могут выбрать наиболее подходящие для себя варианты. Ведение каталога авторизованного программного обеспечения и уверенность в том, что бизнес-единицы закупают только авторизованное ПО означает, что ИТ лучше позиционировано в части безопасности (раз программное обеспечение из каталога оценено и утверждено согласно протоколу безопасности) к тому моменту, когда ПО будет установлено. Это повышает шансы мониторинга уровня безопасности программного обеспечения и ликвидации несанкционированного программного обеспечения, создающего угрозу для организации. Важно учитывать соображения безопасности при оценке программного обеспечения для включения в каталог. Советник по безопасности может быть привлечён для оценки безопасности программного обеспечения, включения его в каталог и предварительного санкционирования распределения ПО через стандартный процесс запроса ПО организации.
Каталог программного обеспечения является первой линией обороны; однако, так как каталог не всегда будет включать в себя всё, что бизнес-пользователям может понадобиться, должен быть установлен формальный процесс запроса программного обеспечения как для ПО из каталога, так и для неавторизованного ПО. Настойчивое соблюдение формального процесса запроса обеспечит системным администраторам лучшую видимость того, какое программное обеспечение бизнес желает для внедрения в компании, а также повышает их возможность прогнозировать спрос и принимать более взвешенные решения касаемо согласования установки ПО. В то время как многие организации включают в процесс согласования только закупки, вовлечение представителей SAM команды и службы информационной безопасности имеет важнейшее значение для извлечения всей ценности из процесса. Участие советника по вопросам безопасности, как части отдела закупок, даёт целый ряд преимуществ. Специалисты по безопасности будут углубляться в такие вопросы, как существуют ли в программном обеспечении известные уязвимости, поддерживается ли оно производителем, соответствует ли оно стандартам безопасности компании, а также потребуется ли вносить изменения в правила сетевого брандмауэра компании для запуска этого программного обеспечения. Игнорирование этих вопросов может привести к дополнительным затратам или подвергнуть организацию серьёзным рискам.
Найти и отсеять лишнее
Наличие официального процесса запроса программного обеспечения снижает вероятность того, что несанкционированное ПО попадёт в ИТ-инфраструктуру организации, однако это не является 100% гарантией. Следовательно, организации нужны способы чтобы выведать инородное программное обеспечение, которое проникло в сеть используя механизмы внутреннего контроля в рамках программы управления уязвимостями. Часть этой задачи может быть решена с помощью инструментов информационной безопасности, которые сканируют серверы в поисках известных уязвимостей, и в результате может идентифицировать конкретное программное обеспечение, которое представляет угрозу безопасности. Этот инструмент информационной безопасности затем уведомляет системного администратора для того чтобы тот в свою очередь мог удалить либо исправить его при помощи патча или обновления.
Держите ваше ПО здоровым, а ненужному ПО покажите где дверь
Для того, чтобы сохранить функциональность и безопасность своего программного обеспечения вендоры выпускают новые патчи, релизы и обновления. Управление патчами важно для любого программного обеспечения будь то операционные системы, приложения, системы управления базами данных или прошивки. Невозможность установки патча или обновления может привести к уязвимости, которые затем могут быть использованы хакерами. Патчи имеют различные уровни воздействия и критичности, и управление их установкой (включая время простоя, управление изменениями и тестирование) добавляет сложности управлению информационной безопасностью. Установка патчей может также выполняться поэтапно по нескольким подразделениям с прямым или косвенным участием других систем.
В недостаточной или наоборот избыточной степени задействованное либо устаревшее программное обеспечение повышает издержки и создаёт ненужные проблемы безопасности. Например, сотрудники часто устанавливают программное обеспечение на свои ПК для конкретных проектов, а потом забывают об этом. Если системные администраторы не знают где это программное обеспечение находится, они могут не обновить его или установить патчи безопасности. Кроме того, может истечь срок лицензий, что ставит под угрозу соблюдение лицензионного соглашения и приносит риски как финансовые, так и репутационные. Программное обеспечение, которое не используется в одной части организации, зачастую может быть отозвано и затем повторно использовано в другой её части, экономя тем самым на лицензиях.
Если ваша организация заинтересована в повышении уровня информационной безопасности, предлагаем провести проект Cybersecurity SAM Engagement. Проект позволит:
- Построить гибкую ИТ-инфраструктуру, которая может реагировать на угрозы быстро
- Свести к минимуму затраты, связанные с киберугрозами и потерей данных
- Получить целостную картину о программных активах во всей компании
- Повысить зрелость процессов управления программными активами (SAM) в вашей компании.
Условия участия в программе:
- Численность ПК от 50 устройств
- Проект доступен для всех аффилированных юридических лиц
- Заключение NDA перед проектом
- Стоимость проекта: бесплатно (в случае одобрения финансирования со стороны вендора - Microsoft)
Источник:
Deloitte , перевод: Александр Шаров