10 Giugno 2019–
Di Marco Rottigni, Chief Technical Security Officer EMEA di Qualys–
Il Forth Bridge in Scozia è famoso per essere dipinto; continuamente. Non appena il lavoro viene completato da un capo all’altro del ponte, il team di manutenzione riparte con l’attività di verniciatura. Ovviamente, stiamo parlando di una falsa leggenda metropolitana, ma, se la notizia fosse vera risulterebbe di grande interesse per i produttori di vernici e per le società di manutenzione. Il ponte, infatti, prima di essere trattato con un rivestimento speciale che ha una durata superiore ai 25 anni, richiedeva una forte attenzione dagli addetti alla manutenzione vista l’esposizione alle continue intemperie.
Che cosa ha a che fare il Forth Bridge con la gestione delle risorse IT, attività conosciuta anche con l’acronimo ITAM? Parliamo di un requisito essenziale per i responsabili della sicurezza degli strumenti IT, per la compliance e la gestione delle IT operations. Viene infatti richiesto un approccio coerente e continuo per mantenere costantemente aggiornate le informazioni sugli apparati IT e tuttavia, non è un processo così semplice come sembra.
La gestione della configurazione e il monitoraggio delle risorse sono diventati una componente importante della IT Infrastructure Library a partire dagli anni 2000, mentre i database degli apparati IT si gestivano già anni prima. Eppure, secondo l’analista di Gartner Hank Marquis, l’80 per cento delle aziende che investono in progetti di Configuration Management Data Base (CMDB) vedono i loro sforzi fallire, rendendo estremamente difficile il coordinamento dell’ITAM.
Gestire un lista accurata e aggiornata dei dispositivi IT aiuta i team di security a prevenire problemi, Secondo quanto contenuto nel Data Breach Report di Verizon del 2016, le prime dieci vulnerabilità software sono responsabili dell’85% delle compromissioni confermate; senza questa prospettiva di approfondimento è molto semplice per gli attaccanti rimanere nelle posizioni di compromissioni guadagnate. È di esempio il caso di Apache Struts, in cui errori che potevano essere rimediati con patch disponibili hanno causato il successo di attacchi in alcune grandi aziende con multe di milioni di euro.
Perché è così difficile implementare correttamente ITAM? Nonostante si siano viste iniziative CMBD da oltre vent’anni, perché è così difficile avere dati sugli apparati IT accurati e aggiornati?
How to obtain more accurate data on IT assets
Uno dei primi motivi è legato al numero delle apparecchiature che oggi devono essere tracciate dai sistemi CMDB. Ogni singolo PC ha il proprio sistema operativo, l’hardware e le varie applicazioni installate; così come per ogni apparato ci saranno versioni e livelli di patch da controllare. Se moltiplichiamo il tutto per il totale di dipendenti di una grande società, i numeri crescono rapidamente: ogni collaboratore dispone anche di smartphone o tablet, aumentando ulteriormente il numero di apparati.
Senza dimenticare poi i servizi IT aziendali, le applicazioni web, le implementazioni in cloud e altre risorse IT che devono essere controllate, monitorate e gestite.
Con così tanti strumenti IT costantemente in movimento in un’organizzazione, non è cosa semplice costruire un CMDB o effettuare regolarmente inventari degli asset. È un problema di scala.
In seconda istanza, ogni piattaforma potrebbe avere dati sugli stessi apparati, ma fornire questa informazione in modo diverso, utilizzando definizioni diverse e per obiettivi di reporting diversi. Un PC su una rete può essere identificato in modi diversi, mentre il software installato su tale macchina viene tracciato altrimenti per fini di gestione licenze, sicurezza e gestione postazioni di lavoro. Questa grande varianza di dati è una delle prime ragioni per cui le iniziative CMBD falliscono.
Quand’anche un’implementazione CMBD inizi in modo positivo, il carico operativo richiede tempo che potrebbe essere impiegato per decisioni più importanti e basate sui dati.
Per risolvere questo problema suggeriamo di raccogliere insieme in un unico posto tutte le informazioni su ITAM. Piuttosto che monitorare diversi insiemi di dati sugli asset in merito a endpoint, dispositivi di rete IT e servizi cloud separatamente, tutti i dati dovrebbero essere consolidati e ordinati.
L’automazione del processo di normalizzazione dei dati può anche offrire l’opportunità di arricchire gli stessi dati, ad esempio includendo informazioni sullo stato di “end-of-life” e le informazioni di supporto anziché richiedere un ulteriore sforzo manuale.
Questo garantisce che gli insiemi di dati siano incompleti.
Per i dispositivi mobili o remoti, gli agenti software dovrebbero fornire informazioni accurate su cosa siano questi dispositivi, per garantire consistenza e sicurezza in merito a cosa si connette alla rete aziendale.
Tutte queste informazioni dovrebbero essere costantemente aggiornate, riflettendo i cambiamenti che ogni giorno accadono quando nuovi apparati vengono aggiunti, aggiornati, modificati o decommissionati.
Use data more effectively
La creazione di un database CMDB o di un’altra libreria di risorse IT può contribuire a migliorare l’accuratezza dell’utilizzo dei dati all’interno dell’azienda. Tuttavia, ci sono altre modalità che possono agevolare la collaborazione tra i team, come ad esempio la prioritization. Con così tanti nuovi aggiornamenti che arrivano, può essere difficile sapere quali aggiornamenti sono i più urgenti, e quali possono aspettare, così come può essere difficile conoscere l’impatto generato da ogni update sulle versioni software IT. Di conseguenza, non basta avere un elenco di risorse ma serve lavorare su quali sono più importanti per lo sviluppo del business e quali invece hanno una priorità più bassa.
Magari tramite dashboard che evidenzino quando le situazioni superino determinate soglie di attenzione.
Analogamente, questo elenco dovrebbe fornire informazioni approfondite su applicazioni o servizi che non possono o non verranno aggiornati ma che forniscono comunque valore aziendale, in modo che gli altri team dell’organizzazione ne siano consapevoli e possano pianificare in anticipo come procedere. Ad esempio, pensiamo ad un hardware dedicato al settore manifatturiero o sanitario che può supportare solo uno specifico sistema operativo e che ad un certo punto vede terminare l’assistenza.
Le esigenze di protezione, la criticità di una probabilità di attacco continuano ad esistere e tale situazione deve essere tracciata.
Un altro problema è il modo in cui i team IT collaborano.
I dati ITAM possono essere utilizzati efficacemente per la sicurezza, la conformità e la gestione dei rischi. Se non sono accurati, tempestivi e visibili da questi team, le loro prestazioni saranno influenzate. Inoltre, può essere difficile ottenere informazioni accurate su tutte le risorse software e le potenziali vulnerabilità che esistono sui dispositivi. Quando diversi team sono responsabili dei propri asset IT, possono utilizzare diversi strumenti per raccogliere informazioni su quanto viene utilizzato, un processo che può comportare incongruenze nei dati acquisiti.
Definire il prezzo dell’ITAM
Oscar Wilde wrote in game Lady Windermere's Fan che un cinico è “… un uomo che conosce il prezzo di tutto, ma il valore di nulla”. Per i team IT, la grossa sfida intorno all’ITAM è che non hanno informazioni accurate sul prezzo e sul valore delle loro risorse IT.
Tuttavia questi dati possono essere utilizzati per dimostrare come si potrebbe ottenere una migliore gestione degli apparati IT. Ad esempio, offrire elementi importanti per una pianificazione finanziaria più accurata e le previsioni sugli strumenti IT da acquistare. L’elemento indispensabile rimane quindi quello di avere un elenco accurato delle risorse e un costante processo per verificare che tali risorse siano ancora necessarie ed utilizzate in azienda
Conclusions
L’ITAM è fondamentale per gestire con successo le risorse IT nel tempo. Senza dati accurati, è impossibile per i team IT assicurare sicurezza, conformità e supporto operativo che il resto dell’azienda si aspetta. Gli approcci ITAM devono tenere il passo con i rapidi cambiamenti che avvengono attraverso l’IT aziendale, fornendo informazioni in tempo reale su quali problemi esistono. Lavorando in modo più efficiente e adottando un approccio basato sui dati, i team ITAM possono aiutare le loro aziende a migliorare la sicurezza e l’utilizzo dei budget, mantenendo gli strumenti sempre aggiornati e utilizzando le risorse dove sono necessarie. Come i pittori del Forth Bridge, serve uscire dal ciclo potenzialmente infinito dei comportamenti meccanicamente ripetuti per ottenere risultati migliori.
