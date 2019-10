Al drie decennia is een van de hoofdoorzaken dat aanvallers systemen kunnen binnendringen het niet correct toepassen van patches. Jarenlang was een enkele ongepatchte applicatie, zoals Java van Sun/Orcale, verantwoordelijk voor 90 procent van alle beveiligingsincidenten. Het is duidelijk dat de impact van ongepatchte software groot is.

Het is daarom verrassend om te zien dat de meeste organisaties denken dat ze effectief patchen, maar dat dat niet het geval is. In dit artikel omschrijf ik acht veelvoorkomende missers en hoe je deze aanpak verbetert.

1. Niet de juiste dingen patchen

Het grootste probleem is dat de applicaties met de hoogste risico's niet als eerste worden gepatcht. In elke omgeving krijg je te maken met honderdduizenden dingen die een update vereisen, maar slechts een handvol applicaties bevatten de gaten waar aanvallers hun aandacht het meest op richten. Die moeten als eerste worden gepatcht en het snelste worden gepatcht.

Voor werkstations zijn dat de volgende vier types software:

Browser add-ons

Browsers

Besturingssystemen

Productiviteitssoftware (bijvoorbeeld Office-applicaties)

Voor servers worden de volgende types software het meest aangevallen:

Webserversoftware

Databaseserversoftware

Besturingssystemen

Remote servermanagementsoftware

Deze soorten software bevatten minder dan vijf procent van alle softwarekwetsbaarheden, maar belangrijker: als een exploit niet in het wild wordt gebruikt, heeft het nog geen prioriteit. Decennia aan onderzoek heeft uitgewezen dat het onwaarschijnlijk is dat een kwetsbaarheid wordt gebruikt door aanvallers als er nog geen publiek beschikbare exploitcode is. Ongeveer twee procent van alle geopenbaarde kwetsbaarheden levert daadwerkelijk een exploit op.

Oplossing: Richt je op de software die de meeste kans heeft om in de praktijk aangevallen te worden en patch deze het snelst, het best en als eerste.

2. Te veel focus op patchratio

Ik heb zelden een klant bezocht (en ik heb er honderden gezien) die me niet vertelde dat ze een geweldige patchratio hadden, bijvoorbeeld 99 procent. Maar ik heb nog nooit ook maar één klant bezocht die een enkel apparaat volledig had gepatcht en heb nog nooit een apparaat gescand waar ik geen kritieke kwetsbaarheid in vond. Vanwaar deze discrepantie?

Een patchratio van 99 procent betekent vaak dat ze 99 procent van alle Microsoft-applicaties op de meeste apparaten hebben gepatcht, en zelfs dit is zelden waar. Als ik controleer of er kwetsbare remote managementsoftware of er wellicht kwetsbare browserextensies zijn, is het antwoord op die vraag meestal 'ja'. Soms vind ik zelfs verschillende versies van hetzelfde programma en geen van allen is dan correct gepatcht.

Nog belangrijker: de 1 procent die niet is gepatcht, gaat om de hoogste risico's. Betekent het iets als je een patchratio van 99 procent kunt claimen, maar dat je aan ratio van 0 procent hebt bij de dingen die het waarschijnlijkst worden aangevallen? Nee, en toch is dit het scenario dat nauwkeurig omschrijft wat ik in de meeste omgevingen zie.

Oplossing: Maak je niet druk om de succesvolle patchratio, maar wees duidelijk hoe goed je de zaken patcht waarbij de meeste kans is dat aanvallers zich erop richten.

3. Niet snel genoeg patchen

Alle complianceregels stellen dat je kritieke kwetsbaarheden tijdig repareert, wat dat ook in de praktijk mag betekenen. Het zou moeten betekenen dat je ze binnen enkele dagen of maximaal een week patcht. Ik begrijp dat het nodig is om enkele dagen te wachten om te zien of er een grote bug in zit, maar ik kom organisaties tegen waar in de regels staat dat er binnen een maand gepatcht moet worden. Dat is veel te lang.

In een tijdperk waarin de nieuwste patches binnen enkele minuten een wormbare exploit opleveren, kun je geen maand wachten als het om een kritiek component gaat, vooral als het een van de meeste aangevallen onderdelen is. Als je inline patches gebruikt om exploits voor ongepatchte kwetsbaarheden te voorkomen, moeten de definities onmiddellijk worden uitgerold.

Oplossing: Patch de onderdelen die het vaakst worden aangevallen binnen een week.

4. Onduidelijk wie er verantwoordelijk is voor patchen

Het is zeldzaam dat maar één persoon of team verantwoordelijk is voor alle patches. Meestal is er een gespecialiseerd persoon of team dat het grootste deel doet, maar iemand anders is verantwoordelijk voor apparaten, weer iemand anders voor applicatieservers, iemand anders voor databaseservers, enzovoorts.

Ik kom zelden een organisatie tegen die geen patches mist op veel van de computers. Als ik vraag waarom dat zo is, begint het vingerwijzen. "Ik ben de baas over de werkstations, maar niet de servers" of "ik mag niet bij servers X en Y" of "de DNS-admins hebben besloten om dat niet te patchen omdat het A, B en C misschien breekt". De smoesjes vliegen je om de oren, maar het enige probleem dat je eigenlijk hebt is dat je ongepatchte zaken hebt en niemand die de verantwoordelijkheid neemt om te zorgen voor een patch.

Oplossing: Maak één persoon of team verantwoordelijk voor álle patches.

5. Ongeteste patches uitrollen

Ja, patches zullen enkele dingen omver trekken. Dat is geen excuus om niet snel te patchen, maar iemand die een patch uitrolt waardoor vervolgens een machine crasht, heeft het verbruid. Niemand kreeg ooit opslag voor het crashen van een server, ook al was dat om een beveiligingspatcht te installeren. Dus test. En met 'test' bedoel ik 'doe iets'.

De heersende mening is dat patches getest moeten worden met een breed scala aan verschillende apparaten en configuraties. Alleen na een grondige en volledige testprocedure mogen patches worden uitgerold. Dat is prima, als je dat daadwerkelijk doet. De meeste bedrijven rollen patches uit zonder ook maar enige tests en dat leidt onherroepelijk tot een kritieke uitval op het moment dat het je het slechtst uitkomt.

In plaats van het een binaire propositie te maken (test volledig of test helemaal niet) zou je tenminste enkele basistests moeten uitvoeren voordat je tot brede uitrol overgaat. Bepaal wekte niet-kitieke servers, werkstations en apparaten je profekonijnen zijn en gebruik deze testtuin als je patches begint uit te rollen. Pas de patches voor deze productieservers en gebruikers toe een of twee dagen nadat ze uitkomen. Wacht daarna een dag of twee om te zien of ze problemen veroorzaken en als dat niet het geval is, rol ze dan breder uit, maar niet alles in één keer. Voer de uitrol in productieomgevingen gefaseerd uit over een periode van een aantal dagen, maar snel genoeg dat ze na een week zijn toegepast.

Begin dus klein en ga gefaseerd groter. Het belangrijkste is dat testen geen idee is van wel of niet, maar dat je op z'n minst voorzichtig te werk gaat. Als je niet volledig kunt testen, doe dan in ieder geval dit om problemen bij de uitrol zo goed mogelijk te voorkomen. Heb een goed mitigatieplan achter de hand om de patch achter te houden mochten er grote problemen ontstaan.

Oplossing: Test patches voordat je een grootschalige productie-uitrol doet en heb een plan om de risico's te beperken, mocht een patch problemen veroorzaken.

6. Patchteam heeft geen gezag

Elk goed leider van een patchteam die ik heb gesproken klaagt over de verantwoordelijkheid die het team draagt, maar dat tegelijkertijd ze niet de autoriteit krijgen van stakeholders van apparaten om het goed te doen. Toen bijvoobeeld Java verantwoordelijk was voor die 90 procent van exploits, vertelden veel patch-managers me dat ze de software niet konden patchen omdat dan te veel legitieme programma's niet meer zouden functioneren. Gekoppeld aan het feit dat Java ook nog eens de meestgebruikte software was na het besturingssysteem, zie je meteen waarom hackers daar zo op inzetten.

Het is niet acceptabel om niets te doen als je ongepatchte kritieke software vindt waarvoor publiek beschikbare exploitcode is te vinden. Je kunt een heleboel doen, maar 'niets' is geen optie. Elke keer dat ik hoorde van een falend programma vanwege een nieuwe patch, was dat vrijwel altijd omdat de programmeur iets had gedaan wat ze niet hadden mogen doen. Zorg ervoor dat je ontwikkelaars (of de developers van de leverancier) niet lui zijn en ervoor zorgen dat je patchbeheerissues hebt.

Als je niet kunt patchen, kun je de volgende stappen overwegen:

Verwijder het als het niet nodig is.

Isoleer een ongepatcht apparaat van het netwerk of verwijder de koppeling helemaal.

Gebruik software die potentiële risico's van een omgepatchte kwetsbaarheid beperkt.

Oplossing: Zet alternatieve stappen om risico's te beperken als je een patch niet kunt uitrollen.

7. Patches simpelweg uitrollen wordt gezien als de oplossing

Patchen is geen 'instellen en vergeten maar'. Patchbeheer draait niet om het aanschaffen van een product dat beweert alles elke keer perfect te patchen, want zo'n product bestaat niet. Patchbeheer draait om effectief risicobeheer en in de gaten houden van wat er wordt misbruikt in het echt en wat niet.

Oplossing: Stel een risicomanager aan als leider van je patchebeheerteam.

8. Patchbeheerders worden verkeerd gestimuleerd

Ten slotte worden patchbeheerders d afgerekend op het percentage van programma's dat tijdig wordt gepatcht. Ik kan je direct vertellen wat dat percentage is - we hadden het er net ook al over - want dat is 99 procent. Het is altijd 99 procent en die 99 procent zegt niets over je daadwerkelijke risicoprofiel (zie punt 2).

Reken patchers liever af op hie snel en goed ze de meest aangevallen programma's patchen. Als de hoeveelheid ongepatchte software die wordt aangevallen in een bepaalde periode daalt ten opzichte van een eerdere periode en er zijn geen kritieke aanvallen geweest vanwege ongepatchte software, is dat een succes. Ik zou dat team een pluim willen geven, want alle andere beoordeling is niets meer dan liegen met statistiek.

Oplossing: Zorg ervoor dat de patchbeheerder wordt afgerekend op daadwerkelijk verlagen van risico's en geen arbitraire statistiekjes.