Patching: de sleutel tot effectieve endpoint-beveiliging

Patchbeheer vormt een cruciaal onderdeel van elke ICT-strategie. Het aantal kwetsbaarheden dat in softwaretoepassingen wordt aangetroffen, groeit met de dag. Ongepatchte systemen vormen daarmee een ernstig beveiligingsrisico en kunnen netwerken kwetsbaar maken voor aanvallen. Toch hoeft patchbeheer geen fulltime taak te zijn.

Iedereen weet dat je niet meer moet aanpakken dan je aankunt. Helaas is dit niet altijd een optie voor systeembeheerders die de taak hebben om het bedrijfsnetwerk optimaal te laten functioneren. Voor hun gevarieerde functie moeten zij veel verschillende taken uitvoeren, van het creëren van gebruikersprofielen voor nieuwe werknemers tot het in de lucht krijgen van een netwerkprinter die offline is gegaan en het installeren van nieuwe bedrijfstoepassingen.

Daar bovenop komt de verantwoordelijkheid voor het beheer van de ICT-beveiliging. Systeembeheerders worden geconfronteerd met een onophoudelijke stroom van patches. Deze moeten ervoor zorgen dat alle ICT-systemen up-to-date zijn. Dit kan een overweldigende opgave zijn. Kunnen ICT-organisaties ondanks de toenemende druk om meer te doen met minder de beschikbaarheid van bedrijfskritische diensten waarborgen en de beveiliging op peil houden? Het hanteren van een holistische aanpak van het patchbeheer kan uitkomst bieden.

Problemen met het patchbeheer

Vorig jaar werd een recordaantal ICT-kwetsbaarheden gerapporteerd. Daarnaast groeit het aantal kwetsbaarheden in toepassingen die benaderbaar zijn via internet, zoals Microsoft Office, Acrobat Reader, Apple QuickTime en de Java Runtime Engine van Oracle. De kans op beveiligingsincidenten neemt hierdoor zienderogen toe.

Veel van deze kwetsbaarheden kunnen worden opgelost met behulp van een uitgebreide, centrale patchingstrategie. De traditionele aanpak van het beheer van kwetsbaarheden binnen ongelijksoortige producten en oplossingen is echter kostbaar en gaat gepaard met een grote beheeroverhead, waardoor het patchingproces uiterst moeizaam verloopt.

Verschillende softwareleveranciers brengen allerlei hoeveelheden patches op meerdere tijden van de maand uit. Dit betekent dat de ICT-organisatie vrijwel dagelijks een groot aantal patches moet downloaden en testen op systeemcompatibiliteit. Daarnaast moet zij zich bezighouden met het beveiligen van de rest van het netwerk.

Een factor die voor aanvullende complexiteit zorgt, is dat de meeste ICT-managers ondersteuning moeten bieden voor heterogene omgevingen. Die bestaan uit een combinatie van besturingssystemen zoals Windows, Mac OS X en Linux. Elk van deze besturingssystemen kent zijn eigen patch-vereisten. Zonder een goede strategie en tools die niet alleen deze systemen bewaken, maar ook goedgekeurde configuraties afdwingen en in staat zijn om ongewenste apparatuur op te sporen en isoleren, bestaat de kans dat er binnen je netwerk sprake is van blinde vlekken die de organisatie kwetsbaar maakt voor aanvallen.

Een beveiligingsstrategie zonder centrale oplossing voor beheer, bewaking en rapportage van gedistribueerde systemen, platforms en toepassingen maakt het uiterst moeilijk om de operationele efficiëntie en kostenbesparingen te realiseren waar het huidige economische klimaat om vraagt.

Appliances voor systeembeheer

Bij een beveiligingsaanpak die op appliances voor systeembeheer is gebaseerd, staat patching binnen best practices op het gebied van systeembeheer centraal. Een dergelijke aanpak legt de basis voor een succesvol en kostenefficiënt patchbeheer.

Eén van de belangrijkste voordelen van een op systeembeheer gebaseerde patching-aanpak is dat deze ondersteuning biedt voor de volledige cyclus van het beheer van kwetsbaarheden, waaronder:

  • Automatische detectie van alle apparatuur binnen het netwerk
  • Een complete hardware- en software-inventaris van alle systemen
  • Snelle patching en probleemoplossing voor alle ICT-activa vanuit een centrale beheerconsole
  • Afdwingen van beleidsregels voor de goedgekeurde software die op systemen wordt geïnstalleerd
  • Voortdurende controle en onderhoud van de juiste patch- en configuratieniveaus van systemen
  • Intensief beheer en dito rapportage

Met een beveiligingsaanpak die op systeembeheer is gebaseerd (zie kader), beschik je over meerdere beveiligingslagen. Als één van deze lagen uitvalt, zal je netwerk nog steeds niet kwetsbaar zijn voor aanvallen. Er zijn vier activiteitsgebieden die hier een rol bij spelen: Detect, Assess, Remediate en Protect.

Detect (Detecteer) houdt in dat je een complete, gedetailleerde en up-to-date inventaris bijhoudt van alle apparatuur en software (met inbegrip van drivers) binnen je netwerk. Maar al te vaak raken systeeminventarissen verouderd als gevolg van onbekende configuraties die organisaties kwetsbaar maken voor aanvallen. Nu werknemers steeds meer consumentenapparatuur zoals tablets en mobiele telefoons naar de werkplek meenemen, bestaat de kans dat er apparaten met je netwerk zijn verbonden die niet aan je beveiligingscriteria voldoen.

Assess (Evalueer) – Met tools voor automatisch scannen zoals Open Vulnerability en Assessment Language (OVAL) en configuratie-analyse zoals Security Content Automation Protocol (SCAP) kunt je systemen effectief controleren op kwetsbaarheden in de beveiliging.

Remediate (Herstel) – Als je weet waar er zich kwetsbaarheden bevinden, is het tijd om te gaan patchen. Dat geldt niet alleen voor besturingssystemen, maar ook voor alle native applicaties en internettoepassingen. Een integrale oplossing die je systemen routinematig patcht zal je aanzienlijk veel tijd besparen.

Protect (Bescherm) – Door middel van whitelisting of blacklisting van toepassingen en websites en het afschermen van PC’s door een strikte afdwinging van goedgekeurde configuraties houd je grip op de interactie tussen de systemen binnen het netwerk en bronnen buiten de organisatie. Door de toegang tot bekende websites met malware te blokkeren, kun je ervoor zorgen dat gebruikers geen schadelijke software downloaden. Hierdoor zullen hun systemen zonder incidenten in de lucht blijven en zal ICT-personeel minder tijd kwijt zijn aan systeemherstel.

Een gelaagde beveiligingsaanpak kan een holistische oplossing bieden voor het patchbeheer. Dit voorkomt de noodzaak om verschillende standalone oplossingen aan te schaffen of meer personeel aan te trekken. Het voordeel van deze oplossingen zit hem in een reductie van de operationele kosten, optimalisatie van de beveiliging en de flexibiliteit om op proactieve wijze een oplossing voor patching- problemen te bieden. Zonder de werkdruk van het personeel te vergroten.

ICT-teams zijn veel tijd kwijt met het ongedaan maken van de gevolgen van beveiligingsincidenten die door malware zijn veroorzaakt en het verwijderen van niet goedgekeurde toepassingen die in productiviteitsverlies resulteren. Je kunt het leven van ICT-personeel een stuk eenvoudiger maken door een einde te maken aan routinematige patching-taken die zijn vereist voor uiteenlopende toepassingen en besturingssystemen. Een holistische aanpak van de eindpuntbeveiliging met gelaagde beveiligingsfunctionaliteit vormt de sleutel tot een effectieve strategie voor patchbeheer. Denk daarbij aan detectie- en auditingsystemen, evaluatie van kwetsbaarheden, de installatie van patches en het afdwingen van goedgekeurde configuraties.

Wanneer je de tiende patch van de week installeert, wordt het tijd dat je je afvraagt wat je tijd waard is. Een nieuw actieplan op basis van een vereenvoudigde patching-aanpak kan ervoor zorgen dat deze ooit routinematige taak tot het verleden behoort. Zo houd je meer tijd over voor strategische initiatieven die een positieve uitwerking op het bedrijfsresultaat hebben.

Gastexpert
[block] [title]Alexander van der Plaats[/title] [par] is marketing manager Dell KACE Western Europe Region [/block]