Grote aantal updates stelt bedrijven voor groeiend probleem

De hack die Diginotar de kop kostte en het internet op zijn grondvesten deed schudden, begon met een vier jaar oude kwetsbaarheid in het door het bedrijf gebruikte contentmanagementsysteem. Voor deze kwetsbare versie waren op het moment dat de hacker toesloeg al dertig updates uitgekomen. Geen ervan was op de Diginotarserver geïnstalleerd.

Het cms van Diginotar is niet uniek, alle software bevat fouten. Niet alle fouten zijn zo ingrijpend als deze, maar veel wel. Hoe valt het enorme aantal beveiligingsupdates dat door softwareleveranciers wordt uitgebracht anders te verklaren? Is voor de softwareleverancier met het uitbrengen van de update het werk gedaan, voor consumenten en bedrijven begint het dan pas. Alle systemen moeten geüpdate worden en het liefst snel, want met het uitkomen van de update, vaak vergezeld van een toelichting op welke beveiligingsproblemen ermee gedicht zijn, worden systemen die nog niet zijn voorzien van de update kwetsbaar. Het gros van de hackers wereldwijd ontbeert ook de kwaliteit of is domweg te lui om zelf nieuwe fouten te ontdekken. Hun 'skills' bestaan uit het gebruiken van vrij verkrijgbare tools die bekende kwetsbaarheden opsporen in niet-gepatchte systemen.

Patchen is een werkwoord

'Zorg dat de basis in orde is. Update je software en zorg dat je dit behoudt, zie het als een griepprik', aldus het belangrijkste beveiligingsadvies van cybersecurityexpert James Lyne van beveiligingsfirma Sophos in een interview met WINMAG Pro (01.2015). Een belangrijk advies maar helaas niet zo gemakkelijk gedaan als het klinkt. Voor de meeste bedrijven is het al een enorme uitdaging om alleen maar te weten welke software er gebruikt wordt, welke versies daarvan in gebruik zijn en welke updates daarvoor beschikbaar zijn. Het feitelijke updaten moet dan nog beginnen. Elke update in een bedrijfsomgeving geldt bovendien als een wijziging die juist bij beveiligingsupdates impact kan hebben op de business. Testen is nodig om te voorkomen dat belangrijke applicaties na de update niet meer werken. Valt zo’n test negatief uit, dan zijn maatregelen nodig om ervoor te zorgen dat zolang de update niet kan worden uitgevoerd, apparaten in elk geval niet kwetsbaar zijn.

Microsoft software

Patch Tuesday is zonder twijfel het bekendste moment waarop updates voor software beschikbaar komen, zelfs al is het alleen maar voor Microsoft-producten. Elke tweede dinsdag van de maand brengt Microsoft soms één en soms vele tientallen beveiligingsupdates voor al haar producten uit. Het is het resultaat van een inmiddels zeer volwassen proces van softwareverbetering dat als voorbeeld voor de hele industrie geldt. Om de updates op alle systemen uitgerold te krijgen, bestaan meerdere mogelijkheden. Voor thuiswerkers is er Windows Update dat ook voor consumenten de aangewezen methode is. Mits ingesteld om ook updates voor de andere Microsoft-software en niet alleen Windows te downloaden, levert dit een voor de Microsoft-software up-to-date systeem op. Bedrijven kiezen veelal voor 'een eigen Windows Update', in de zin dat zij in hun netwerk een WSUS-server opzetten die de updates van Microsoft aanbiedt aan alle pc’s en servers. WSUS reduceert de belasting van de updates op het bedrijfsnetwerk, de download is eenmalig, daarna wordt alles alleen nog intern verspreid, bijvoorbeeld buiten de direct productieve uren. WSUS kan standalone draaien maar integreert ook met de System Center-suite voor beheer. SCCM kan dan de patches testen en distribueren volgens een set van policies, voor meer controle. Bedrijven met veel mobiele werkers of die gebruik maken van byod kunnen nog InTune kiezen als cloudvariant van WSUS en SCCM. Intune biedt behalve updates ook mdm-functionaliteit voor beheer van de mobiele apparaten.

'Patch Tuesday' heeft een zeer goede reputatie en geldt als voorbeeld voor de hele industrie. Toch gooit Microsoft dit hele systeem binnenkort overboord. Met Windows 10 en de bijbehorende Server 2016 stopt Microsoft met de maandelijkse patchdag en stapt over op een continue levering van updates, zoals we dat nu al kennen van bijvoorbeeld iOS en Android. Bedrijven kunnen zelf kiezen hoe snel ze bepaalde patches willen uitrollen op hun werkplekken en servers. Maar het advies van Microsoft is helder: patch alles zo snel mogelijk.

Java

Hoewel het trackrecord van Java als het gaat om beveiliging niet erg goed is, sinds de overname door Oracle wordt er hard aan gewerkt het product betrouwbaarder en de updates voorspelbaarder te maken. Sinds 2013 levert Oracle beveiligingsupdates voor Java samen met updates voor andere Oracleproducten vier maal per jaar uit, telkens in de maanden januari, april, juli en oktober. Het maakt het hen mogelijk de updates in te plannen en bijvoorbeeld tijdens vaste onderhoudsvensters uit te rollen. Bovendien biedt het Oracle de mogelijkheid om updates intensiever te testen, bijvoorbeeld om verlies aan functionaliteit of impact op de prestaties te voorkomen. Java is echter wel een voorbeeld van hoe patchen, ook wanneer de producent van de software een goede prestatie levert, complexer kan zijn dan het op voorhand lijkt. Java is behalve een taal ook een uitvoeringsplatform in de zin dat er een Java Virtual Machine actief is op alle systemen waarop Java is geïnstalleerd. Java-applicaties kunnen zelfstandig draaien en als applet binnen een browser. Applicaties gemaakt in Java worden veelal geleverd met een eigen versie van de JVM. Daarvan kunnen er meerdere tegelijk op een systeem aanwezig zijn en in verschillende versies. Een Javaupdate behandelt wel de stand-alone Java Virtuele Machine en ook de applet-componenten. Java binnen applicaties blijven echter ongemoeid.

Niet-Microsoft software

Het grootste probleem bij het updaten van software zit in de software waarvoor geen eenduidige methode voor upgraden bestaat of waarvan de softwareleverancier geen eigen variant van Patch Tuesday heeft. De beveiligingsupdates lijken dan vooral uit te komen wanneer de bijbehorende kwetsbaarheid al actief wordt misbruikt en patching direct moet gebeuren. Deze updates komen altijd onverwacht en moeten juist met extra spoed worden uitgerold op werkstations en servers. De impact hiervan op de it-afdeling en de business is dan al snel erg groot.

Hoewel het nog niet de oplossing voor alle patchproblemen is, is de werkwijze van programma's als Patch Manager van Solarwinds, BatchPatch van Cocobolo Software en Ninite Pro van Ninite wel op weg een groot aantal van deze problemen te tackelen voor software op de werkplek. Deze software richt zich naast Microsoft-software ook op applicaties van third party's.

Virtueel patchen

Wanneer het niet mogelijk is een beschikbare update direct uit te rollen, kan er gekozen worden voor virtueel patchen. Daarbij worden op het netwerk en op de getroffen systemen extra maatregelen genomen om misbruik van de kwetsbaarheid te voorkomen. Vaak gaat dit in combinatie met een slimme firewall en intrusion prevention software op de pc. Zowel Intel Security als Trend Micro hebben de laatste geïntegreerd in de standaard antimalwaresoftware die deze bedrijven leveren. 'Virtual patching is sneller. Na het bekend worden van een kwetsbaarheid kan al binnen een paar uur een virtuele patch beschikbaar zijn. De daadwerkelijke patch kan dan nog dagen op zich laten wachten', aldus Albert Kramer van Trend Micro. Toch schuilt er ook weer een gevaar in virtueel patchen, zoals René Pieëte van Intel Security benadrukt. 'Virtueel patchen is op langere termijn minder effectief dan echt updaten. Door virtual patching toe te passen, lijkt er geen noodzaak meer om de kwetsbaarheid zelf op te lossen. Dit kan er uiteindelijk toe leiden dat de kwetsbaarheid aangevallen kan worden op plekken zonder de extra beschermingsmaatregel.'

Beveiligingsupdates zijn goed maar leveren bedrijven soms grote problemen op. De druk om ze uit te rollen over werkstations en systemen is groot, de onvoorspelbaarheid waarmee belangrijke patches kunnen uitkomen eveneens. Goed beleid is nodig, evenals het nemen van maatregelen om systemen die niet gepatcht kunnen worden te beveiligen. De wereld wordt er veiliger door, maar de it toch weer complexer. De impact van de veranderingen die Microsoft heeft aangekondigd zijn nog maar deels te overzien, maar lijken vooral een belangrijke aansporing het patchen van de eigen systemen zo snel mogelijk zo goed mogelijk onder de knie te krijgen. De druk om gepatcht te zijn, wordt er alleen maar groter door.

Project Zero
[block] [par]Project Zero is een redelijk onbekend onderzoeksinitiatief van Google. Het team bestaat uit mensen wiens taak het is om zwakheden op te sporen in de producten van Google, alsmede andere populaire software en besturingssystemen. Als Project Zero een lek vindt in de software, dient het bedrijf dat verantwoordelijk is voor de software deze binnen negentig dagen te patchen. Doen zij dit niet, dan maakt Google het lek publiekelijk bekend. Bedrijven die aangeven dat ze het lek niet binnen de negentig dagen kunnen dichten, maar wel snel een patch klaar hebben, krijgen van het Project Zero-team van Google twee weken extra de tijd om de patch uit te brengen. Ook zal Google geen kwetsbaarheden onthullen in weekenden en op officiële vrije dagen.[/par][/block]
Niet-gepatchte software is een groot risico
Grote aantal updates stelt bedrijven voor groeiend probleem.