Aleš Mahdal,
bezpečnostní konzultant ve společnosti ANECT

IT ve
firmách bývá mnohdy přebujelé, má několik systémů redundantních, něco málo
duplicitního softwaru a nevyužité licence. Téměř vždy existuje příležitost a
prostor pro jeho zlepšení, přičemž jako dobrý výchozí bod se
nabízí inventarizace IT assetů. Pojďme se podívat, co nám může přinést a
jak na ni.

Zvládnutí správy IT assetů patří k základním
předpokladům úspěšného řízení provozu a bezpečnosti IT jakékoliv organizace.
Definice wikipedie uvádí k tomuto tématu následující charakteristiku:

„IT asset management (ITAM) je soubor obchodních postupů, které spojují
finanční, smluvní a inventarizační funkce podporující řízení životního cyklu a
strategické rozhodování v prostředí IT. Aktiva zahrnují všechny prvky softwaru
a hardwaru, která se nacházejí v podnikovém prostředí.“

V praxi to zpravidla znamená shromažďování
detailních informací o hardwaru a softwaru, které se pak používají při operativním
řízení.

Oblast správy je také systematicky popsána v
normách ISO nebo NIST. ISO norma tuto problematiku řeší celkem v pěti dílech
standardu ISO/IEC 19770. Poslední 5. díl normy poskytuje volně dostupný přehled
ITAM se slovníkem a je univerzálně použitelný pro jakoukoliv organizaci.
Institut NIST řeší problematiku ITAM v rámci svého doporučení NIST SP 1800 5a-c
v úzké vazbě na bezpečnost IT. Dokument je napsán jako průvodce implementace
dostupných technologií pro sledování umístění a konfigurace síťových zařízení,
serverů a aplikací napříč celou organizací.

Šedá je teorie a
zelený zase strom života…

Teoretické popisy a příručky vypadají vždycky
moc dobře. Nic proti nim, jsou ostatně skvělé pro pochopení dané problematiky,
ale je to vždy jen výchozí bod praktického nasazení. Z výše uvedených
doporučení je zřejmé, že ani pro ITAM nemusíme znovu vymýšlet „kolo“, ale
můžeme se inspirovat pro praktické nasazení do konkrétního prostředí
organizace.

Začněme úvahou, kdo má v dané organizaci
o výstupy z ITAM zájem. Žhavými kandidáty jsou obvykle oddělení, jako je
logistika, nákup, účtárna, řízení rizik a zejména pak provoz, rozvoj a
bezpečnost IT.

Ti všichni budou chtít nějakým způsobem
využívat sebraná data. Každý však v jiném rozsahu a z jiného úhlu
pohledu. Praktické zavedení správy IT assetů tedy musí splnit tato očekávání a
zároveň bude muset poskytnout podklady alespoň pro některé z následujících
oblastí:

  • Optimalizace nákladů na nákup a
    provoz software a IT infrastrukturu
  • Zajištění shody s legislativními
    požadavky
  • Zvýšení zabezpečení majetku a
    duševního vlastnictví
  • Snížení finančního, smluvního a
    reputačního rizika
  • Snížení nákladů na podporu
  • Snížení požadavků na zdroje

To vše navíc ve velmi dynamickém prostředí
moderní organizace, které se neustále a velmi rychle vyvíjí. Mění se počet
zákazníků, zavádějí se nové služby a s tím související technologie.
Praktické zavedení ITAM musí umět akceptovat tyto „změny prostředí“ a
poskytnout dostatečně aktuální obrázek o provozním stavu IT assetů a jejich zranitelnostech.
Správně podchycená evidence IT assetů je vitální také pro úspěšné zvládnutí
incident management procesu.

Vazba mezi provozem a bezpečností IT řadí
inventarizaci assetů mezi klíčové procesy řízení provozu IT. Aby byl tento
proces efektivní, musí být v maximální míře automatizován. Podívejme se na
šestici požadavků, které by takový proces měl správně splnit:

  • Kompletní přehled o IT prostředí
  • Hluboká viditelnost aktiv bez
    ohledu na lokalitu nebo topologii sítě
  • Průběžná a automatická aktualizace
  • Nastavitelná kritéria pro
    kategorizaci a normalizaci assetů
  • Dashboarding a reporting
  • Integrace s CMDB

Pouze nepřetržitý proces shromažďování a zjišťování dat, který je
prvním krokem k automatizovanému procesu inventarizace IT prostředků, poskytuje
úplný a vždy aktuální pohled na IT prostředí. Systém, jehož procesy skenování a
inventarizace musí být spouštěny ručně na vyžádání, tedy určitě není vhodný.
Naopak, budeme hledat systém, který poskytne automatické „značkování“ a
dynamickou organizaci assetů. Nepožadujeme inventarizační systém s úzkým
rozsahem, protože nezjistí veškerý hardware a software. A pokud budeme
následovat nejnovější trendy, vyhneme se i systému, který není nebo nemůže
fungovat z cloudu.

Teorie vs. praxe a
jak z toho ven

Kompletní přehled o IT prostředí vyžaduje
neomezenou viditelnost všech IT prostředků, jak hardwaru, tak softwaru.
Nemůžeme chránit něco, o čem nevíme, že existuje. Dnešní IT prostředí je přitom
velmi komplexní a je potřeba obsáhnout starší HW a SW, virtuální prostředí,
assety v cloudech a nejrůznější mobilní zařízení.

Získávání dat z těchto prostředí vyžaduje
instalaci snímačů/sond, které nepřetržitě a proaktivně sbírají informace o
systémech. Případně doplněné o pasivní skenery, které sniffují síťová zařízení
a provoz a detekují neoprávněná zařízení a podezřelou činnost. Důležitou
součástí procesu zpracování je centrální a rozšiřitelný systém, kde jsou tyto
informace agregovány, indexovány, korelovány a připraveny pro analýzu. Systém
nám musí umožnit analýzu shromážděných dat a získání výstupů pomocí
jednoduchých i složitých dotazů během několika málo sekund. Jedině tak získáme
okamžité odpovědi na otázky typu:

  • Kolik systémů od konkrétního
    výrobce máme ve svém prostředí?
  • Které IT prostředky jsou ovlivněny
    konkrétní chybou zabezpečení?
  • Které servery provozují operační
    systém, jejž dodavatel nedávno přestal podporovat?
  • Které IT prostředky obsahují
    určitý software?

Od našeho budoucího systému inventarizace bude
neméně důležitá podpora bezpečného provozu IT. Výsledkem propojení funkcí
„inventarizace“ a „bezpečnost“ je mapování bezpečnostních hrozeb na assety,
mapování zranitelných assetů na jejich umístění, podpora patch managementu nebo
vazba na bezpečnostní dohled.

Pro sdílení informací ITAM s dalšími týmy
budeme potřebovat zavést mechanismus automatizace sledování změn a integraci
s CMDB, případně otevřené API rozhraní pro tvorbu vlastních integrací.

Seznam požadavků na systém můžeme završit
potřebou rychlého uvedení do provozu, rozšiřitelností a dostupností online
centrální konzole pro sdílený přístup k datům.

Stejně tak jako Petr – uchopte výzvu
inventarizace IT assetů pozitivně, s odhodláním, vervou a vidinou, že vložené
úsilí přinese jasnou odpověď na otázku z úvodu článku: „U nás
v domě je přesně to a to…
“.