ITAM: Jaký je skutečný stav vašeho IT vybavení a jeho bezpečnost?
IT ve firmách bývá mnohdy přebujelé, má několik systémů redundantních, něco málo duplicitního softwaru a nevyužité licence. Téměř vždy existuje příležitost a prostor pro jeho zlepšení, přičemž jako dobrý výchozí bod se nabízí inventarizace IT assetů. Pojďme se podívat, co nám může přinést a jak na ni.
Zvládnutí správy IT assetů patří k základním předpokladům úspěšného řízení provozu a bezpečnosti IT jakékoliv organizace. Definice wikipedie uvádí k tomuto tématu následující charakteristiku: „IT asset management (ITAM) je soubor obchodních postupů, které spojují finanční, smluvní a inventarizační funkce podporující řízení životního cyklu a strategické rozhodování v prostředí IT. Aktiva zahrnují všechny prvky softwaru a hardwaru, která se nacházejí v podnikovém prostředí.“
V praxi to zpravidla znamená shromažďování detailních informací o hardwaru a softwaru, které se pak používají při operativním řízení.
Oblast správy je také systematicky popsána v normách ISO nebo NIST. ISO norma tuto problematiku řeší celkem v pěti dílech standardu ISO/IEC 19770. Poslední 5. díl normy poskytuje volně dostupný přehled ITAM se slovníkem a je univerzálně použitelný pro jakoukoliv organizaci. Institut NIST řeší problematiku ITAM v rámci svého doporučení NIST SP 1800 5a-c v úzké vazbě na bezpečnost IT. Dokument je napsán jako průvodce implementace dostupných technologií pro sledování umístění a konfigurace síťových zařízení, serverů a aplikací napříč celou organizací.
Šedá je teorie a zelený strom života…
Teoretické popisy a příručky vypadají vždycky moc dobře. Nic proti nim, jsou ostatně skvělé pro pochopení dané problematiky, ale je to vždy jen výchozí bod praktického nasazení. Z výše uvedených doporučení je zřejmé, že ani pro ITAM nemusíme znovu vymýšlet „kolo“, ale můžeme se inspirovat pro praktické nasazení do konkrétního prostředí organizace.
Začněme úvahou, kdo má v dané organizaci o výstupy z ITAM zájem. Žhavými kandidáty jsou obvykle oddělení, jako je logistika, nákup, účtárna, řízení rizik a zejména pak provoz, rozvoj a bezpečnost IT. Ti všichni budou chtít nějakým způsobem využívat sebraná data. Každý však v jiném rozsahu a z jiného úhlu pohledu. Praktické zavedení správy IT assetů tedy musí splnit tato očekávání a zároveň bude muset poskytnout podklady alespoň pro některé z následujících oblastí:
- Optimalizace nákladů na nákup a provoz software a IT infrastrukturu
- Zajištění shody s legislativními požadavky
- Zvýšení zabezpečení majetku a duševního vlastnictví
- Snížení finančního, smluvního a reputačního rizika
- Snížení nákladů na podporu
- Snížení požadavků na zdroje
To vše navíc ve velmi dynamickém prostředí moderní organizace, které se neustále a velmi rychle vyvíjí. Mění se počet zákazníků, zavádějí se nové služby a s tím související technologie. Praktické zavedení ITAM musí umět akceptovat tyto „změny prostředí“ a poskytnout dostatečně aktuální obrázek o provozním stavu IT assetů a jejich zranitelnostech. Správně podchycená evidence IT assetů je vitální také pro úspěšné zvládnutí incident management procesu.
Vazba mezi provozem a bezpečností IT řadí inventarizaci assetů mezi klíčové procesy řízení provozu IT. Aby byl tento proces efektivní, musí být v maximální míře automatizován. Podívejme se na šestici požadavků, které by takový proces měl správně splnit:
- Kompletní přehled o IT prostředí
- Hluboká viditelnost aktiv bez ohledu na lokalitu nebo topologii sítě
- Průběžná a automatická aktualizace
- Nastavitelná kritéria pro kategorizaci a normalizaci assetů
- Dashboarding a reporting
- Integrace s CMDB
Pouze nepřetržitý proces shromažďování a zjišťování dat, který je prvním krokem k automatizovanému procesu inventarizace IT prostředků, poskytuje úplný a vždy aktuální pohled na IT prostředí. Systém, jehož procesy skenování a inventarizace musí být spouštěny ručně na vyžádání, tedy určitě není vhodný. Naopak, budeme hledat systém, který poskytne automatické „značkování“ a dynamickou organizaci assetů. Nepožadujeme inventarizační systém s úzkým rozsahem, protože nezjistí veškerý hardware a software. A pokud budeme následovat nejnovější trendy, vyhneme se i systému, který není nebo nemůže fungovat z cloudu.
Teorie vs. praxe a jak z toho ven
Kompletní přehled o IT prostředí vyžaduje neomezenou viditelnost všech IT prostředků, jak hardwaru, tak softwaru. Nemůžeme chránit něco, o čem nevíme, že existuje. Dnešní IT prostředí je přitom velmi komplexní a je potřeba obsáhnout starší HW a SW, virtuální prostředí, assety v cloudech a nejrůznější mobilní zařízení. Získávání dat z těchto prostředí vyžaduje instalaci snímačů/sond, které nepřetržitě a proaktivně sbírají informace o systémech. Případně doplněné o pasivní skenery, které sniffují síťová zařízení a provoz a detekují neoprávněná zařízení a podezřelou činnost. Důležitou součástí procesu zpracování je centrální a rozšiřitelný systém, kde jsou tyto informace agregovány, indexovány, korelovány a připraveny pro analýzu. Systém nám musí umožnit analýzu shromážděných dat a získání výstupů pomocí jednoduchých i složitých dotazů během několika málo sekund.Jedině tak získáme okamžité odpovědi na otázky typu:
- Kolik systémů od konkrétního výrobce máme ve svém prostředí?
- Které IT prostředky jsou ovlivněny konkrétní chybou zabezpečení?
- Které servery provozují operační systém, jejž dodavatel nedávno přestal podporovat?
- Které IT prostředky obsahují určitý software?
Od našeho budoucího systému inventarizace bude neméně důležitá podpora bezpečného provozu IT. Výsledkem propojení funkcí „inventarizace“ a „bezpečnost“ je mapování bezpečnostních hrozeb na assety, mapování zranitelných assetů na jejich umístění, podpora patch managementu nebo vazba na bezpečnostní dohled. Pro sdílení informací ITAM s dalšími týmy budeme potřebovat zavést mechanismus automatizace sledování změn a integraci s CMDB, případně otevřené API rozhraní pro tvorbu vlastních integrací. Seznam požadavků na systém můžeme završit potřebou rychlého uvedení do provozu, rozšiřitelností a dostupností online centrální konzole pro sdílený přístup k datům.
 |
Aleš Mahdal Autor článku je bezpečnostní konzultant ve společnosti ANECT. |
