Van Vulnerability Management naar Patch Management
20 maart 2024
Regelmatig vragen wij onze medewerkers een blog te schrijven over iets wat ze op is gevallen in het nieuws of in het werk. Dit keer een blog vanuit ons security operations team waarin ze in gaan op de stap van vulnerability management naar patch management.
Je kent ze wel, die vervelende meldingen dat je weer updates moet installeren. “Doe maar later, ik ben nu bezig.” Die updates zijn er echter niet alleen om de bekende omgeving weer in de war te gooien, maar zijn ook heel belangrijk voor de beveiliging van je systemen. Het ontbreken van updates is namelijk verantwoordelijk voor wel 30% tot 60% van alle datalekken!
Toch blijkt bij het doen van Vulnerability Management (het inzicht krijgen in bestaande kwetsbaarheden) dat vaak beschikbare security updates – ook bekend als patches – niet of erg laat worden geïnstalleerd. Wat maakt dat dit zo’n uitdaging is?
Tja, Ferd Grapperhaus kan dat leuk zeggen, maar de praktijk is vaak weerbarstig. Er zijn tal van redenen waarom het niet altijd makkelijk is om snel te patchen: de complexiteit van IT-omgevingen, het beheren van patches op meerdere platforms, het vinden van een balans tussen beveiliging en bedrijfscontinuïteit, beperkte middelen, het omgaan met legacysystemen en niet-ondersteunde software, de noodzaak van patchtests en -validatie, patchmoeheid en het coördineren van patchinspanningen met software van derden. Gelukkig zijn er manieren om dit wel makkelijker te maken.
Automatische updates
Allereerst is het goed om automatische updates in te richten. Zie onderaan de links naar artikelen hoe je dit kunt inrichten. Naast de geleverde links is het bij veel software mogelijk om automatische updates in te schakelen. Dit is zeker aan te raden.
Daarnaast is het mogelijk in Windows netwerken om updates te beheren via WSUS (Windows Server Update Services). Hiermee is het mogelijk om updates die de productie verstoren on-hold te zetten terwijl de andere updates zonder problemen door gaan. Dit kan grotendeels voorkomen dat de updates compatibiliteits- of stabiliteitsproblemen veroorzaken. Een vergelijkbaar proces kan worden gevolgd in Linux netwerken waarbij een eigen package repository in het netwerk wordt gebruikt.
Maintenance windows
Automatische updates zijn erg handig, maar soms hebben systemen ook een herstart nodig. Dat betekent vaak dat de productie tijdelijk stil ligt. Hoe ga je daar dan mee om? Een veelgebruikte werkwijze is om periodiek een uurtje of een paar uur aan te wijzen voor onderhoud van het serverpark. Zolang dit gecommuniceerd wordt met de gebruikers en (indien nodig) klanten, is dit vaak zonder problemen te regelen.
Tip: plan het maintenance window een paar dagen ná Patch Tuesday, de tweede dinsdag van de maand. Microsoft, Adobe, Oracle en een aantal andere software producenten brengen dan maandelijkse security updates uit. Vaak is een dag later al bekend of er updates tussen zitten die “moeilijk doen”, dus houd het nieuws in de gaten. Deze kun je voor de zekerheid uitsluiten, bijvoorbeeld via WSUS, en dan kun je met een gerust hart de updates laten uitvoeren in de omgeving.
Redundante systemen
Wat nou als zelfs dat ene uurtje offline niet kan? Maak dan gebruik van redundante systemen. Veel applicaties zoals databases komen standaard al met de optie om te draaien als cluster. Je kunt dan een “node” van het cluster herstarten, terwijl de andere nodes ervoor zorgen dat de database beschikbaar blijft. Op die manier kun je patchen zonder downtime.
Legacy systemen
Soms wordt software niet langer ondersteund door de leverancier. Er worden dan geen patches meer uitgebracht. Het allerbeste is om deze software zo snel mogelijk uit te faseren omdat het risico toeneemt naargelang de tijd vordert. Als dit (nog) niet kan zijn er gelukkig nog steeds opties om de veiligheid te waarborgen.
Allereerst kan gekeken worden of er een nieuwere versie van de software beschikbaar is. Denk hierbij aan Microsoft .NET Core wat niet langer wordt ondersteund, maar wat is vervangen door Microsoft .NET 6 en nieuwer.
Als er geen nieuwe versie van is, kan het zijn dat een andere leverancier een product heeft uitgebracht wat de functionaliteit kan vervangen. Zo is CentOS Linux binnenkort volledig End of Life, maar is AlmaLinux ontwikkeld om dit OS op te volgen.
Bestaat er geen alternatief, dan is het altijd de moeite waard om te controleren of er een “extended support” beschikbaar is. Dit houdt in dat er nog wel patches beschikbaar zijn, maar tegen een meerprijs. Dit is vooral een goede tijdelijke optie terwijl het systeem uitgefaseerd wordt, of een van de bovenstaande oplossingen wordt gerealiseerd.
Als zelfs dat niet mogelijk is, dan is het goed om te kijken of de risico’s op een andere manier afgevangen kunnen worden. Bijvoorbeeld door het systeem te isoleren, extra netwerk- en host firewalling toe te passen, strengere toegangscontrole in te stellen etc.
Niet alleen
Gelukkig hoef je patchbeheer niet alleen te doen. Of het nu ons team is dat ondersteuning biedt bij kwetsbaarheden of de talloze online bronnen die beschikbaar zijn, hulp is altijd binnen handbereik. Tot ziens in de volgende blog!
Links:
Automatische updates op Windows 10/11:
Automatische updates op Debian Linux:
https://linuxopsys.com/topics/ubuntu-automatic-updates
Automatische updates op RHEL/CentOS/Alma Linux:
https://access.redhat.com/solutions/2823901
https://www.cyberciti.biz/faq/install-enable-automatic-updates-rhel-centos-8/
Automatische updates van web browsers:
Deel dit artikel
