• Rune A. Harden

Ikke på min oppdatering!

Oppdatert: juni 17




Corey Nachreiner, CTO hos WatchGuard Technologies, understreker viktigheten av å få det grunnleggende riktig med sterk patch-administrasjon


En effektiv patch management strategi er et av grunnlaget for en organisasjons cybersikkerhetspolitikk. Likevel betaler for mange selskaper fortsatt leppetjeneste for patch management, og de som forstår viktigheten av å implementere en robust prosedyre, kan fortsatt slite med å få det riktig.

Ifølge Gartner ville 99% av sårbarhetene som ble utnyttet på slutten av 2020 ha vært kjent for sikkerhetseksperter og IT-administratorer på tidspunktet for hendelsen. Til sammenligning utgjorde nulldagssårbarheter omtrent 0,4%. Faktisk utnytter 80 % av vellykkede angrep sikkerhetsproblemer som har kjente oppdateringer som ikke er brukt.

Hva er patch management?

Programvareutviklere utsteder oppdateringer for å løse sikkerhetsproblemer i programvaren. All programvare har feil, og uansett om det er forårsaket av design- eller distribusjonsfeil, er det store volumet av kode i systemer og applikasjoner bundet til å inneholde feil.

I Steve McConnells bok, Code Complete, vil den gjennomsnittlige frekvensen av feil i programmeringsestimater vanligvis være mellom 15 og 50 feil for hver tusen kodelinje. Risikonivået forbundet med disse feilene kan variere fra en mindre plage i stabilitet, til potensialet for et stort datakompromiss. De fleste sikkerhetsoppdateringer er et svar på et identifisert sikkerhetsproblem – muligens en som allerede er utnyttet, kalt et nulldagssårbarhet. Dette betyr at det å bruke disse oppdateringene i tide er avgjørende for sikkerheten. Service Pack- (SP) eller Feature Pack (FP)-oppdateringer er viktige oppdateringer som utgjør en samling oppdateringer, reparasjoner eller funksjonsforbedringer for en programvaredel. De har en tendens til å løse mange ventende problemer, og inkluderer vanligvis alle oppdateringer, hurtigreparasjoner, vedlikehold og sikkerhetsoppdateringer utgitt før oppdateringspakken.

Selv om testing og distribusjon av en oppdatering kan virke som lav prioritet ved siden av live overvåking og hendelseshåndtering, er prosessen viktig. Publiseringen av en oppdatering fra en programvareleverandør varsler også ondsinnede aktører om det potensielle sikkerhetsproblemet, som de vil gripe som en mulighet til å utnytte før oppdateringer er brukt. Det er et kappløp mot tiden for organisasjoner å minimere sannsynligheten for et datainnbrudd, eller risikere forskriftsmessig manglende overholdelse på grunn av ikke-oppdatert programvare.


En ubeleilig sannhet

Programvareoppdateringer er en nødvendig ulempe for IT-administratorer, ettersom de er tidkrevende og kan forårsake avbrudd for brukerne. datamaskiner og servere må ofte startes på nytt, noe som fører til avbrudd i arbeidet. På grunn av dette blir oppdateringer ofte utsatt, og anbefalte oppdateringer ignoreres. Men det som kan virke som en uskyldig handling kan ende opp med å få alvorlige konsekvenser.

En av hovedårsakene til at selskaper ikke regelmessig oppdaterer systemene sine, er mangel på teknisk personell. I tillegg kan noen oppdateringer forårsake ytelsesproblemer, mens eldre systemer kan kreve en bestemt versjon av et program, så oppdatering eller oppgradering er kanskje ikke mulig. I dette tilfellet må kontroller som nettverkssegmentering for å isolere det sårbare systemet gjøres så mye som mulig.


Mest populære mål

De mest brukte tredjepartsapplikasjonene er hovedmålet for hackere. I følge CVene²-indeksen (Common Vulnerabilities and Exposures) har applikasjoner som Java, Adobe, Google Chrome, Mozilla Firefox og OpenOffice blant annet det høyeste antallet sårbarheter. Det er også økningen i antall angripere med ferdighetene som trengs for å oppdage sårbarheter med høyere hastighet. Når de er funnet, kan de distribuere programmer som automatiserer utnyttelsen av disse nye sårbarhetene, som distribueres og selges mye på det mørke nettet.

Selvfølgelig, ikke glem de populære serverapplikasjonene også. I skrivende stund hadde Microsoft nettopp gitt ut oppdateringer for en kritisk ny Zero Day Exchange-feil som statssponsede hackere og kriminelle var og utnytter i naturen. Spesielt denne hendelsen er en utmerket illustrasjon på hvorfor du bør lappe så raskt du kan.


Tiden er over

Ifølge Ponemon er den gjennomsnittlige tiden det tar selskaper å lappe applikasjoner eller systemer 97 dager. Den gjennomsnittlige tiden det tar å se et nettangrep når en oppdatering er utgitt for et kritisk sikkerhetsproblem, er imidlertid 43 dager, noe som betyr at det er et gjennomsnittlig risikogap på 59 dager. I tillegg sier Ponemon at 57% av ofrene for cyberangrep sier at å bruke en patch ville ha forhindret angrepet. 34 prosent sier at de visste om sårbarheten før cyberangrepene. Cyberkriminelle blir bare bedre og raskere til å utnytte sårbarheter, noe som tvinger selskaper til å jobbe mot klokken for å distribuere oppdateringer. Selv om det kan være mulig å gjøre dette manuelt i små miljøer, er automatiserte oppdateringsprogrammer å foretrekke. Automatisering sikrer at de distribueres så raskt som mulig og konsekvent over hele nettverket.

Automatisert administrasjon muliggjør ikke bare effektiv utrulling, men mer tilgjengelige beregninger og rapportering for å gi CISO-er bedre oversikt over det generelle IT-sikkerhetsprogrammet. Når det gjelder kritiske oppdateringer som krever stramme tidslinjer for distribusjon, vil organisasjoner ofte betrakte disse som forhåndsgodkjente nødendringer for sine endringsadministrasjonsprosedyrer.


Erfaringer

Hvis det er tvil om viktigheten av patch management, trenger du bare å se tilbake på alle godt offentliggjorte brudd forårsaket av manglende oppdatering av et kjent sikkerhetsproblem. Hackere har vært kjent for å utnytte sårbarheter bare dager etter at en oppdatering er utgitt, noe som viser at manglende oppdatering raskt nok kan true en organisasjon, så vel som kundene.




5 visninger0 kommentarer