Beveiligingstip: geef patchen de hoogste prioriteit

Niet patchen betekent je online bedrijfsomgeving openstellen voor hackers. Als de voordeur van je bedrijf niet iedere dag openstaat voor nieuwsgierige bezoekers, laat je ze dan wel binnen via de achterpoort?

Voordat hackers een achterpoortje vinden om in een toestel of systeem binnen te breken, lanceerde softwareboeren vaak al een nieuwe versie die het probleem oplost. Dat duidt Microsoft, dat zelf natuurlijk maar al te graag cijfers deelt over de robuustheid van de nieuwste versie van een Windowssysteem.    

Hackers slagen er desalniettemin toch nog vaak in om te profiteren van deze zerodays. Google Project zero vond in de eerste helft van 2022 achttien zerodays waarvan hackers misbruik maken. De groep toonde verder aan dat hackers deze patches ook als vertrekpunt durven nemen om nieuwe zeroday-exploits op te zetten. Minstens negen van de zerodays ontstonden direct uit eerder gepatchte kwetsbaarheden. De partijen die verantwoordelijk zijn voor de patches, treffen met andere woorden zelf dus zeker ook schuld.

Race tegen de klok

Toch is er een goede reden waarom softwarereuzen niet grondig genoeg patchen om nieuwe uitbuitingen te voorkomen: tijdsdruk. Zeroday-kwetsbaarheden krijgen steeds sneller een oplossing, vorig jaar nam het gemiddeld 52 dagen in beslag. Drie jaar daarvoor duurde het nog tachtig dagen. Des te sneller een patch op de markt komt, des te minder tijd hebben hackers om de gekende zeroday te misbruiken.

Vanaf dat moment is het aan de bedrijven. Daar gaat het opnieuw om snelheid. Een patch kan dan nog snel beschikbaar komen, wie de pleister niet plakt, blijft een open wonde houden. Daarom is het belangrijk om te patchen en dit een prioriteit te maken.

In de Belgische ondernemingen is er op dat vlak nog werk aan de winkel. Vorig jaar maakte het Exchange-lek dat duidelijk. Minstens 650 Belgische bedrijven bleken in augustus 2021 nog kwetsbaar voor een lek in Microsoft Exchange, terwijl de patch op dat moment gedurende vier maanden beschikbaar was. Bang voor productie-uitval blijven patches liggen tot ‘het juiste’ moment is aangebroken.

lees ook

Waarom organisaties broodnodige updates niet installeren

Prioriteiten kiezen

Het IT-departement kan ook voorkomen dat systemen te vaak opnieuw moeten opstarten voor een update tijdens productie. Hiervoor dienen zij goed te weten welke systemen er binnen de organisatie draaien, welke software erop staat, hoe kritiek ze zijn voor de productie en op welke manier ze toegankelijk zijn.

Deze lijst houden zij in het achterhoofd wanneer ze kijken hoe waarschijnlijk het is dat hackers via het lek binnenkomen. Bij een zeroday die nog niet uitgebuit wordt of die niet vanop afstand uit te buiten valt, is het minder belangrijk meteen te patchen. Zit het lek in een systeem dat kritiek is voor de productie en hangt dat systeem ook nog eens aan het internet, dan is er genoeg reden om te prioriteren.

Uiteindelijk draait het om een inschatting van het risico, die niet altijd correct gebeurt. Bedrijven durven een kritiek systeem niet meteen patchen uit angst voor een korte uitval van productie of dienstverlening. Ze lopen zo wel het risico om dagen of zelfs weken met geblokkeerde systemen te zitten en ontiegelijk veel geld te verliezen. Vergeet niet: ook WannaCry dat destijds zoveel schade aanrichtte, viseerde een reeds gepatchte kwetsbaarheid.

Recent sloeg Microsoft opnieuw alarm voor een nieuw ontdekt Exchange-lek. Het verhaal van vorig jaar lijkt zich wat te herhalen, want de schatting leert ons dat ruim tweeduizend Belgische organisaties kwetsbaar zijn voor het lek. Vanaf het moment dat Microsoft de patch uitbrengt, kunnen we dus al raden wat er nu wel bovenaan je prioriteitenlijst zal staan.


Deze redactionele bijdrage is een onderdeel van ons dossier beveiliging naar aanleiding van de securitymaand oktober 2022. Ze wordt mede mogelijk gemaakt dankzij onze partners waaronder Telenet.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.