Waarom organisaties broodnodige updates niet installeren

update patch

Honderden Belgische organisaties zijn kwetsbaar voor hackers via een bug die al maanden gepatcht is. Waarom blijft het zo moeilijk om kritieke updates tijdig te implementeren?

Eerder deze week bleek dat honderden organisaties in België en duizenden wereldwijd kwetsbaar zijn voor aanvallen van hackers via een achterpoortje in on-premises Microsoft Exchange-servers. In tegenstelling tot de Exchange-kwetsbaarheid eerder dit jaar is de verantwoordelijke geen zero day-lek. Hackers buiten een probleem uit dat al sinds april gekend is en waarvoor Microsoft al geruime tijd een patch lanceerde. Om het lek in Exchange te dichten, moeten organisaties die patch natuurlijk wel uitrollen. Dat blijkt zowel bij ons als in de rest van de wereld een groot probleem.

Hoe komt het toch dat zo veel organisaties zo traag zijn met de uitrol van patches, terwijl de gevolgen desastreus kunnen zijn? Via het Exchange-lek injecteren hackers bijvoorbeeld actief ransomware bij bedrijven, die zo het risico lopen al hun data te verliezen. Is een patch installeren dan niet de moeite waard?

Window of opportunity

Simen Van der Perre, Strategic Advisor bij Orange Cyberdefense, erkent het probleem. “Europese cijfers tonen aan dat meer dan de helft van de organisaties één tot zelfs zes maanden nodig heeft om een patch uit te rollen.” Dat is problematisch: “Voor cybercriminelen duurt het gemiddeld slechts 22 dagen om code te schrijven die een gekende kwetsbaarheid kan uitbuiten.” Veel bedrijven zijn zo enkele dagen tot bijna een half jaar kwetsbaar voor aanvallen die actief gebruikt worden in het wild.

Voor cybercriminelen duurt het gemiddeld slechts 22 dagen om code te schrijven die een gekende kwetsbaarheid kan uitbuiten.

Simen Van der Perre, Strategic Advisor OCD

Van der Perre: “Hackers gebruiken een standaard aanvalsproces waarbij ze kwetsbaarheden uitbuiten om een aanval in gang te zetten. Ze voegen de code voor een nieuwe kwetsbaarheid uit te buiten toe aan hun proces, die zo een nieuwe toegangspoort kan gebruiken. Eens binnen via het nieuwe lek komt de rest van de keten op gang.” Dat plan van aanpak zien we nu ook in de nieuwe Exchange-aanvallen. Hackers uit India breken via het lek binnen op systemen, waarna ze een payload met bestaande ransomware uitrollen.

Hackers hebben dus een gestroomlijnd plan om met nieuwe kwetsbaarheden om te gaan, veel organisaties helaas niet. “De bedrijven die er wel in slagen om updates snel uit te rollen, zijn goed georganiseerd en hebben vooraf nagedacht over IT-systemen die op een gestandaardiseerde manier werken”, weet Van der Perre. “Zij kunnen daardoor voor een stuk geautomatiseerd patches uitrollen.”

Angst voor fouten

Te veel organisaties hebben die oefening nog niet gemaakt. “Wanneer een patch verschijnt, moet je die installeren. Dat moet dan doorgaans op verschillende systemen tegelijkertijd. Wanneer die systemen kritiek zijn voor de business en herstart moeten worden, is het vaak moeilijk om een goed installatiemoment te vinden.” Van der Perre begrijpt de terughoudendheid wel. “Het IT-departement staat al onder druk, waardoor patching geen topprioriteit is.” Daar komt nog bij dat IT-omgevingen niet altijd homogeen zijn. Een kluwen van nieuwe tools en legacy-toepassingen met verschillende softwareversies is complex. “Beheerders vrezen dat de installatie van een nieuw stukje code er misschien voor zal zorgen dat er een belangrijk systeem niet meer werkt.” Het resultaat kennen we: systemen blijven lange tijd draaien zonder recente patches.

lees ook

Honderden Belgische bedrijven kwetsbaar voor actief misbruikt lek in Exchange

De oplossing vereist wat werk. Goede cyberhygiëne is essentieel voor iedere onderneming. Je moet met andere woorden goed weten welke systemen er binnen je organisatie draaien, welke software erop staat, hoe kritiek ze zijn voor de zaak en op welke manier ze toegankelijk zijn. “Je hoeft niet iedere patch meteen uit te rollen”, stelt Van der Perre gerust. “Het is wel belangrijk om correct te beslissen wat dringend is.”

Prioriteiten kiezen

Werd er pas een zero day ontdekt in een intern systeem en wordt die nog niet uitgebuit? Dan heb je nog wel even de tijd voor de installatie van een patch. Zit er echter een lek in een systeem dat blootgesteld staat aan het internet, dan moet updaten wel topprioriteit zijn. “Criminelen gebruiken automatische scans om kwetsbaarheden te ontdekken. Een achterpoortje dat nog open staat, wordt zo snel gevonden”, duidt Van der Perre.

Criminelen gebruiken automatische scans om kwetsbaarheden te ontdekken.

Simen Van der Perre, Strategic Advisor OCD

In het geval van het lek in Exchange is er eigenlijk geen excuus. De mailserver staat blootgesteld aan het internet en verdient dus topprioriteit voor updates. Bovendien gaat het niet om een complex geïntegreerd systeem dat altijd online moet zijn: het is perfect mogelijk om de Exchange-server even herop te starten na de werkuren. De realiteit is dat on-premises Exchange-servers voor een stuk bij kleinere organisaties zonder echt IT-beleid staan. Daar zijn de risico’s ondanks veelvuldige hacks de laatste jaren nog steeds onvoldoende doorgedrongen. Verder ontbreekt de kennis en de mankracht om risico’s op te volgen.

Extern beheer

“Kmo’s hebben niet altijd de middelen om het IT-beleid zelf onder handen te nemen. In zo’n gevallen kijk je best naar producten die een volledige dienstverlening bieden waar ook lifecyclemanagement en patchmanagement in zit”, denkt Van der Perre. In het geval van Exchange is de oplossing opnieuw eenvoudig: wie niet de capaciteiten bezit om zijn on-premises mailserver zelf te beheren, kan naar Exchange Online in de cloud verhuizen waar Microsoft de patches voor zijn rekening neemt. “Ik denk dat veel organisaties te afwachtend zijn geweest”, zegt de beveiligingsexpert daarover. “Ze twijfelen tussen de cloud en on-premises, en doen in afwachting niets met alle gevolgen van dien.”

Een magische oplossing is er niet. Binnen een organisatie moet je bewust met veiligheidsrisico’s omgaan. Wanneer je weet hoe snel criminelen nieuwe bugs uitbuiten, besef je hoe essentieel patchmanagement is voor de interne beveiliging. De snelle installatie van een patch brengt misschien een risico op compatibiliteitsproblemen mee, maar het negeren ervan kan ervoor zorgen dat de data van je hele bedrijf versleuteld wordt door ransomware. Ken je IT-infrastructuur en zorg ervoor dat je zelf in staat bent om binnen een week toch zeker de systemen die aan het internet hangen van updates te voorzien. Lukt dat niet? Overweeg dan alternatieven zoals beheerde clouddiensten. Niets doen eindigt vroeg of laat in tranen, zoals keer op keer duidelijk wordt.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.