‘Patch Tuesday’ is een ingeburgerd begrip. Iedere maand kan je er je klok op gelijk zetten, want dan voert Microsoft updates voor zijn software door. Van eindgebruiker tot IT-professional: iedereen kent het fenomeen. Dus zou je verwachten dat IT- en security teams klaar staan om alle patches meteen in te voeren om alle mogelijke gaten in de beveiliging meteen aan te pakken. Helaas doen ze dat niet. En dat is een probleem.
Als in je auto een alarmlampje gaat knipperen, haast de bestuurder zich naar de garage om het euvel te laten herstellen. Toch kunnen auto’s meestal nog enkele weken verder voordat er zich daadwerkelijk een probleem voordoet. Anderzijds: als de spreekwoordelijke alarmlichtjes van onze software beginnen te knipperen, drukken we probleemloos op de ‘snooze’-knop. Met het idee: dat pakken we later wel eens aan.
In het digitale tijdperk wordt de snelle evolutie van technologie helaas alleen geëvenaard door het tempo waarin cyberbedreigingen zich ontwikkelen. Een recent onderzoek heeft een verontrustende trend aan het licht gebracht, namelijk: aanzienlijke vertragingen bij het patchen van kritieke softwarekwetsbaarheden. Dit vormt een belangrijk risico voor de cyberbeveiliging. Waarom patchen organisaties zo traag? Welke risico’s brengt dat met zich? En wat zijn de oplossingen?
Waarom wachten we met patchen?
Terug naar Patch Tuesday. Ondanks de voorspelbaarheid van deze updates geeft 28% van de IT-professionals toe minstens drie weken nodig te hebben om kritieke kwetsbaarheden te patchen, terwijl nog eens 20% er een maand over doet.
28% van de IT-professionals geeft toe minstens drie weken nodig te hebben om kritieke kwetsbaarheden te patchen.
Wytze Rijkmans, Regional Vice President, Tanium
Toch waren er de laatste tijd ‘zero-day’ meer dan genoeg bedreigingen. Zeggen de termen MOVEit, curl en Apache Superset u iets? Deze kwetsbaarheden hebben veel IT- en security teams het laatste jaar slapeloze nachten bezorgd. Ieder jaar komen er ongeveer 100 nieuwe ‘zero-day’ problemen bij. Dat klinkt misschien niet als heel veel, maar ze veroorzaken wel buitenproportioneel veel schade. En dat allemaal omdat we liever wachten met patches doorvoeren.
Verschillende factoren dragen bij tot het trage tempo van patchen. Ten eerste is er de uitdaging van zichtbaarheid, zowel wat betreft de bedrijfsmiddelen binnen een netwerk als de componenten binnen software waar kwetsbaarheden zitten. Het is een bekend gegeven dat veel IT-afdelingen niet eens weten welke endpoints allemaal in hun netwerk aanwezig zijn. Net zo min als ze weten welke apps de eindgebruikers allemaal installeerden, en waar de onderdelen van die software vandaan komen. Niet iedere organisatie maakt immers al gebruik van een ‘Software Bill of Materials’ (SBOM) die duidelijk maakt welke componenten allemaal in software zijn opgenomen. De wijdverspreide impact van de zero-day kwetsbaarheid in Apache Log4j maakte bijvoorbeeld duidelijk hoe moeilijk het is voor beveiligingsteams om getroffen componenten snel te identificeren. Recent onderzoek toonde aan dat 38% van de apps die Log4j gebruiken, nog steeds op onveilige versies zitten.
Wat ook bijdraagt aan het gebrek aan zichtbaarheid: soms zitten kwetsbaarheden verstopt in Shadow-IT toepassingen die aan het zicht van IT ontsnappen.
Verder spelen de zorgen over de bedrijfscontinuïteit een belangrijke rol. Als we geen problemen zien, houden we liever onze handen af van veranderingen in de software. Patching kan onderbrekingen, downtime of reboots vereisen. En dat vinden de eindgebruikers meestal niet fijn en dus dringen ze aan om te wachten met het doorvoeren van de patches. Daarnaast kan het ook gebeuren dat een kwetsbaarheid bekend is, maar dat het een hele tijd duurt eer de sofwareleverancier met een oplossing komt.
Traag patchen kan ook verleidelijk zijn.Interessant genoeg rechtvaardigen sommige IT- en security-specialisten traag patchen door erop te wijzen dat onmiddellijke actie meer schade zou kunnen veroorzaken, zoals instabiliteit van het systeem of onbekende kwetsbaarheden. Ieder stukje software is immers maar een deeltje van een groter geheel. Een aanpassing in één deel van de keten kan verderop storingen veroorzaken. Dit dilemma benadrukt het conflict tussen de urgentie om te upgraden en de noodzaak om de stabiliteit van het systeem te behouden.
Security-by-design
Een veel voorgestelde oplossing om het uitstelgedrag bij patches te overwinnen, is het instellen van een security-by-design benadering. Deze methode legt de nadruk op het elimineren van kwetsbaarheden door continu te testen en door authenticatiebeveiligingen vanaf de ontwikkelingsfase in te bouwen. Een dergelijke aanpak komt overeen met aanbevelingen van cyberbeveiligingsautoriteiten. Zij pleiten voor protocollen die de kloof tussen het uitbrengen van patches en de toepassing ervan dichten.
Het aanpakken van patches in een bedrijfsomgeving begint met het opstellen van duidelijke beleidsregels en procedures. Deze gestructureerde aanpak zorgt ervoor dat patchingactiviteiten worden afgestemd op de verwachtingen van het bedrijf en efficiënt kunnen worden uitgevoerd, idealiter buiten kantooruren om downtime te minimaliseren. Automatisering en AI komen in deze context naar voren als waardevolle hulpmiddelen, die een snellere reactie op updates mogelijk maken en de naleving van beveiligingsstandaarden verbeteren. Om hieraan tegemoet te komen, kondigde Tanium vorig najaar Autonomous Endpoint Management aan, dat volop gebruik maakt van Artificiële Intelligentie om beheerstaken te automatiseren.
Tools en cultuur zijn even belangrijk
Het kiezen van de juiste tools voor patchmanagement is cruciaal. Toch moeten bedrijven op hun hoede zijn voor een wildgroei aan tools, want wildgroei compliceert het patchproces juist weer. Als diverse tools los van elkaar opereren, werken verschillende afdelingen binnen IT elk met een beperkt zicht, terwijl een holistische aanpak nodig is, bijvoorbeeld met Converged Endpoint Management. Een effectieve strategie omvat het evalueren van bestaande tools, het identificeren van hiaten en redundanties en het optimaliseren van de mogelijkheden van de tools om de hoeveelheid handmatige taken te verminderen door middel van automatisering.
Daarnaast is het essentieel om een cultuur te bevorderen waarin tijdige patching en het beheer van kwetsbaarheden prioriteit hebben. Het ontwikkelen van een uitgebreid programma voor het beheren van kwetsbaarheden en het vergroten van het beveiligingsbewustzijn onder gebruikers kan de weerbaarheid van een organisatie tegen cyberbedreigingen aanzienlijk verbeteren. Deze maatregelen, samen met een gestroomlijnd beleid en gestroomlijnde procedures, kunnen IT- en beveiligingsteams in staat stellen om uitdagingen op het gebied van patching effectiever aan te pakken.
Cyberbeveiliging zit vol uitdagingen. Trage patching is een zeer belangrijk probleem. Het begrijpen van de redenen achter deze trend, de risico’s die het met zich meebrengt en de strategieën om deze risico’s te beperken, is essentieel voor iedere organisatie die zijn digitale bezittingen wil beschermen. Door een holistische benadering te kiezen die technologische oplossingen, beleidsvorming en culturele verschuivingen omvat, kunnen bedrijven hun houding ten aanzien van cyberbeveiliging verbeteren en beter reageren op het steeds veranderende bedreigingslandschap.
Dit is een ingezonden bijdrage van Wytze Rijkmans, Regional Vice President van Tanium. Voor meer informatie over de diensten van het bedrijf kan je hier terecht.