Datoria tehnică la infrastructură reprezintă acumularea de muncă necesară pentru a menține sistemele în funcțiune fiabilă și sigură, iar acest lucru se întâmplă deoarece infrastructura se deteriorează, potrivit lui Tony Harvey, vicepreședinte analist la Gartner.
De exemplu, serverele vechi de cinci ani pot începe să cauzeze probleme, determinând majoritatea organizațiilor să le înlocuiască. Dacă nu, după șapte ani, disponibilitatea pieselor de schimb poate deveni o problemă. Dacă acestea durează 10 ani, „fie sperați că nu se vor defecta, fie că se vor defecta, astfel încât să le puteți înlocui în sfârșit”, a sugerat el.
Software-ul de sistem are, de asemenea, o durată de viață finită. De exemplu, Windows Server 2016 ajunge la sfârșitul perioadei de suport în 2026, iar VMware vSphere 8 (adesea denumit VMware 8) în 2027. „Trebuie să fiți conștienți de toate acestea; trebuie să cunoașteți toate aceste date”, a spus Harvey.
Echipele de infrastructură și operațiuni au doi aliați naturali, a spus el: directorul IT, legătura lor cu consiliul de administrație care controlează finanțele; și directorul de securitate a informațiilor (CISO). CISO, a adăugat el, urăște adesea datoriile tehnice și mai mult, deoarece sunt „gâtul lor pe picior de sprijin atunci când atacul ransomware intră prin acele lucruri vechi pe care le continui să le
folosești”.
Provocarea este că liderii din afara IT consideră adesea că, dacă ceva funcționează, nu este nevoie să fie înlocuit. „Așadar, trebuie să faci din asta problema lor, iar diferitele audiențe au limbaje diferite”, a spus Harvey. Aceste audiențe ar putea fi motivate de inovație, economii de costuri sau reducerea riscurilor. Indiferent de motivația lor, gestionarea datoriilor tehnice ar trebui prezentată ca un factor de
creștere a valorii afacerii.
Directorul financiar (CFO), de exemplu, s-ar putea să nu-i pese că un sistem se apropie de sfârșitul perioadei de suport. „Ceea ce trebuie să le explici este că va crește riscul ca ei să piardă bani, deoarece am putea avea o defecțiune, iar defecțiunea acestui sistem anume ne va costa X dolari pe oră. Acesta este limbajul pe care îl înțeleg directorii financiari”, a explicat Harvey.
„Totuși, pentru a reduce datoria tehnică, echipele de infrastructură și operațiuni trebuie mai întâi să știe ce datorii au, ceea ce necesită un inventar complet și precis al mediului lor. Din fericire, există instrumente disponibile care să ajute în acest sens”, a spus el.
Odată inventariată, datoria tehnică poate fi dezvăluită părților interesate, se pot determina prioritățile și se pot elabora planuri de remediere.
În unele cazuri, companiile sunt blocate cu sisteme de operare învechite. „De nouă ori din 10, va fi ceva de genul: «Ei bine, este atașat la o mașină de frezat CNC și, dacă o înlocuim, trebuie să înlocuim mașina de frezat CNC»”, a remarcat Harvey.
În astfel de scenarii, „echipa de securitate va trebui pur și simplu să se ocupe de asta”.
Pentru orice altceva, căutarea unor victorii rapide va demonstra progresul. Cea mai rapidă victorie, a sugerat el, este eliminarea „serverelor zombie” – cele pe care nimeni nu îndrăznește să le oprească pentru că scopul lor este necunoscut.
Instrumentele de rețea pot dezvălui ce fac aceste servere și cine le folosește, „și frecvent, răspunsul este nimic și nimeni”. Același lucru este valabil și pentru mașinile virtuale zombie (VM).
O altă victorie relativ rapidă implică înlocuirea aplicațiilor locale învechite cu un echivalent software-as-a-service (SaaS). Unul dintre clienții lui Harvey folosea o versiune neacceptată de Hyperion pe un sistem de operare și hardware învechite.
„[Ei] nu pot scăpa de ea pentru că este folosită de persoane care raportează direct consiliului de administrație pentru situația financiară.” O soluție simplă, a sugerat Harvey, era „să meargă la Oracle Financials în cloud… și nu mai este problema ta”.
Echipele de infrastructură și operațiuni ar trebui, de asemenea, să dea exemplu și să își actualizeze propriile sisteme. „Ar trebui să poți obține aprobarea bugetului de către directorul IT pentru acest lucru, deoarece este sub controlul tău”, a spus Harvey. Aceasta include actualizarea serverelor de infrastructură de bază la cea mai recentă versiune a sistemelor lor de operare respective, ceea ce face mult mai ușoară obligativitatea actualizării și a responsabilizării altor părți ale organizației.
Un prim pas crucial este oprirea instalării produselor vechi. „Acest lucru necesită sprijinul directorului IT și al altor directori”, a spus Harvey, „dar ar trebui stabilite reguli, cum ar fi: Nu vom instala nicio copie nouă de Windows Server 2016…deoarece va ajunge la sfârșitul perioadei de suport în 2026.”
„Dacă le ușurați oamenilor să facă ceea ce trebuie, de nouă ori din zece, vor face ceea ce trebuie”, a continuat el. De exemplu, dacă oferiți implementare de mașini virtuale în regim self-service, oferiți doar opțiuni precum Windows Server 2019 și 2022 și, eventual, o versiune viitoare. „Credeți-mă, chiar funcționează”, a spus Harvey.
Oricine are nevoie de o versiune mai veche ar trebui să fie obligat să obțină aprobarea directorului general, a directorului IT și a șefului unității sale de afaceri și să recunoască faptul că sistemul său va fi adăugat în registrul de riscuri ca amenințare la adresa securității. În plus, cu binecuvântarea directorului financiar, costul suportului extins pentru software-ul învechit ar trebui să provină din bugetul unității de afaceri, nu din bugetul IT.
Când datoria tehnică este remediată, sărbătoriți victoria. Asigurați-vă că conducerea este conștientă că s-a făcut o treabă bună în retragerea software-ului care nu mai este suportat, evidențiind beneficiile financiare și de securitate care se acumulează.
„Demonstrarea progresului creează impuls, iar impulsul vă împinge înainte”, a spus el. „În următoarele 12 luni, stabiliți un proces pentru a vă evalua progresul și continuați să vă sărbătoriți mereu, mereu, mereu victoriile.”
„Datoria generată de amenințări este un subset al datoriei tehnice – în special, partea pe care actorii de amenințare sunt susceptibili să o exploateze”, a explicat Craig Lawson, vicepreședinte analist la Gartner. „Aplicarea de patch-uri este unul dintre cele mai complicate, dificile și frustrante procese din întreg IT-ul. Atinge totul. Nu poți scăpa de el”, a spus el.
Cu toate acestea, este o eroare să credem că o aplicare mai rapidă a patch-urilor va rezolva problema: „Nu am văzut niciodată pe nimeni care să depășească vreodată actorii de amenințare, niciunul.” Lawson a subliniat că, în cel puțin 15 ani, doar aproximativ 8% până la 9% dintre vulnerabilități au fost exploatate în mediul real. Dintre acestea, aproximativ 95% au fost exploatate în ziua dezvăluirii sau înainte.
Intervalurile tradiționale de timp pentru aplicarea de patch-uri sunt de obicei de 14 zile pentru vulnerabilități critice, 30 pentru vulnerabilități ridicate și 60 pentru vulnerabilități medii. Cu toate acestea, majoritatea vulnerabilităților, indiferent de gravitate, sunt exploatate în decurs de una sau două zile. „Așadar, puteți respecta SLA [acordul privind nivelul serviciilor] și pierde mult timp aplicând patch-uri fără
a vă îmbunătăți efectiv postura de securitate”, a avertizat Lawson. „Nu spunem să nu aplicați patch-uri”, a clarificat el. Dar uneori patch-urile strică lucrurile și „dacă pierdeți 1.000 de ore din cauza unui patch sau a unei breșe, este cam același lucru pentru clienții dumneavoastră”.
Prin urmare, organizațiile ar trebui să se gândească în termeni de gestionare a expunerii, mai degrabă decât în gestionarea pură a patch-urilor, deoarece adevărata problemă este dacă o vulnerabilitate poate fi exploatată în mediul lor specific.
„Există un număr limitat de ore în fiecare săptămână, așa că ce puteți face pentru a face cea mai mare diferență?”, a spus Lawson. De exemplu, o organizație ar putea avea 27 de sisteme cu o vulnerabilitate critică în Java, veche de 63 de zile, dar aplicarea de patch-uri în Java este complexă din cauza mai multor subcomponente care necesită patch-uri prealabile.
Cu toate acestea, aceste sisteme sunt probabil protejate de alte măsuri. „Aveți controlul aplicațiilor, filtrarea DNS, segmentarea rețelei zero-trust, firewall-uri și așa mai departe care vă protejează sistemele”, a spus Lawson. „Probabil aveți cel puțin 10 controale compensatorii, iar aplicarea de patch-uri este un alt factor.”
În special, a adăugat el, programul Microsoft Active Protections oferă zeci de furnizori de securitate copii ale exploit-urilor înainte de Patch Tuesday. Acest lucru permite produselor lor, cum ar fi firewall-urile pentru aplicații web și sistemele de prevenire a intruziunilor, să ofere aplicare virtuală de patch-uri în aceeași zi în care sunt lansate actualizările.
