By Marco Rottigni, Qualys Chief Technical Security Officer EMEA

10 June 2019

The Forth Bridge in Scotland is famous for being painted; continuously. As soon as the work is completed from one end of the bridge to the other, the maintenance team restarts with the painting activity. Obviously, we are talking about a false urban legend, but if the news were true it would be of great interest to paint manufacturers and maintenance companies. In fact, before being treated with a special coating that lasts more than 25 years, the bridge required close attention from the maintenance workers given the continuous exposure to bad weather.

What does the Forth Bridge have to do with IT asset management, also known by the acronym ITAM? We are talking about an essential requirement for those responsible for the security of IT tools, for compliance and the management of IT operations. In fact, a coherent and continuous approach is required to keep information on IT equipment constantly updated and yet, it is not as simple a process as it seems.

Configuration management and resource monitoring have become an important component of the IT Infrastructure Library since the 2000s, while IT equipment databases were already managed years before. Yet, according to Gartner analyst Hank Marquis, 80 percent of companies investing in Configuration Management Data Base (CMDB) projects see their efforts fail, making ITAM coordination extremely difficult.

Managing an accurate and updated list of IT devices helps security teams prevent problems. According to Verizon's 2016 Data Breach Report, the top ten software vulnerabilities are responsible for 85% of confirmed compromises; without this in-depth perspective it is very easy for attackers to remain in the compromising positions they have earned. An example is the case of Apache Struts, where errors that could be remedied with available patches caused successful attacks in some large companies with fines of millions of euros.

Why is it so difficult to implement ITAM correctly? Although we have seen CMBD initiatives for over twenty years, why is it so difficult to have accurate and up-to-date IT data?

How to obtain more accurate data on IT assets

One of the first reasons is related to the number of equipment that today must be tracked by CMDB systems. Every single PC has its own operating system, hardware and various applications installed; just as for each device there will be versions and patch levels to check. If we multiply everything by the total number of employees of a large company, the numbers grow rapidly: each employee also has a smartphone or tablet, further increasing the number of devices.

Without forgetting corporate IT services, web applications, cloud deployments and other IT resources that need to be controlled, monitored and managed.

Con così tanti strumenti IT costantemente in movimento in un'organizzazione, non è cosa semplice costruire un CMDB o effettuare regolarmente inventari degli asset. È un problema di scala.

Secondly, each platform may have data on the same devices, but provide this information differently, using different definitions and for different reporting objectives. A PC on a network can be identified in different ways, while the software installed on that machine is otherwise tracked for licensing, security and workstation management purposes. This large data variance is one of the first reasons CMBD initiatives fail.

Even when a CMBD implementation gets off to a good start, the operational burden takes up time that could be spent on more important, data-driven decisions.

To solve this problem we suggest collecting all the information about ITAM together in one place. Rather than monitoring different sets of asset data regarding endpoints, IT network devices and cloud services separately, all data should be consolidated and sorted.

L'automazione del processo di normalizzazione dei dati può anche offrire l'opportunità di arricchire gli stessi dati, ad esempio includendo informazioni sullo stato di “end-of-life” and supporting information rather than requiring additional manual effort.

This ensures that the data sets are incomplete.

For mobile or remote devices, software agents should provide accurate information about what these devices are, to ensure consistency and security regarding what connects to the corporate network.

All this information should be constantly updated, reflecting the changes that occur every day as new equipment is added, upgraded, modified or decommissioned.

Use data more effectively

La creazione di un database CMDB o di un'altra libreria di risorse IT può contribuire a migliorare l'accuratezza dell'utilizzo dei dati all’interno dell'azienda. Tuttavia, ci sono altre modalità che possono agevolare la collaborazione tra i team, come ad esempio la prioritization. Con così tanti nuovi aggiornamenti che arrivano, può essere difficile sapere quali aggiornamenti sono i più urgenti, e quali possono aspettare, così come può essere difficile conoscere l'impatto generato da ogni update sulle versioni software IT. Di conseguenza, non basta avere un elenco di risorse ma serve lavorare su quali sono più importanti per lo sviluppo del business e quali invece hanno una priorità più bassa.

Perhaps through dashboards that highlight when situations exceed certain attention thresholds.

Analogamente, questo elenco dovrebbe fornire informazioni approfondite su applicazioni o servizi che non possono o non verranno aggiornati ma che forniscono comunque valore aziendale, in modo che gli altri team dell'organizzazione ne siano consapevoli e possano pianificare in anticipo come procedere. Ad esempio, pensiamo ad un hardware dedicato al settore manifatturiero o sanitario che può supportare solo uno specifico sistema operativo e che ad un certo punto vede terminare l’assistenza.

The protection needs, the criticality of a probability of attack continue to exist and this situation must be traced.

Another issue is how IT teams collaborate.

ITAM data can be used effectively for security, compliance and risk management. If they are not accurate, timely and visible to these teams, their performance will be affected. Additionally, it can be difficult to obtain accurate information about all the software assets and potential vulnerabilities that exist on devices. When different teams are responsible for their own IT assets, they may use different tools to gather information about how much is being used, a process that can lead to inconsistencies in the data captured.

Define the price of the ITAM

Oscar Wilde wrote in game Lady Windermere's Fan che un cinico è "... un uomo che conosce il prezzo di tutto, ma il valore di nulla". Per i team IT, la grossa sfida intorno all’ITAM è che non hanno informazioni accurate sul prezzo e sul valore delle loro risorse IT.

Tuttavia questi dati possono essere utilizzati per dimostrare come si potrebbe ottenere una migliore gestione degli apparati IT. Ad esempio, offrire elementi importanti per una pianificazione finanziaria più accurata e le previsioni sugli strumenti IT da acquistare. L’elemento indispensabile rimane quindi quello di avere un elenco accurato delle risorse e un costante processo per verificare che tali risorse siano ancora necessarie ed utilizzate in azienda

Conclusions

L’ITAM è fondamentale per gestire con successo le risorse IT nel tempo. Senza dati accurati, è impossibile per i team IT assicurare sicurezza, conformità e supporto operativo che il resto dell'azienda si aspetta. Gli approcci ITAM devono tenere il passo con i rapidi cambiamenti che avvengono attraverso l'IT aziendale, fornendo informazioni in tempo reale su quali problemi esistono. Lavorando in modo più efficiente e adottando un approccio basato sui dati, i team ITAM possono aiutare le loro aziende a migliorare la sicurezza e l'utilizzo dei budget, mantenendo gli strumenti sempre aggiornati e utilizzando le risorse dove sono necessarie. Come i pittori del Forth Bridge, serve uscire dal ciclo potenzialmente infinito dei comportamenti meccanicamente ripetuti per ottenere risultati migliori.