Blog

Zero day-lekken zonder updates? Geen reden tot paniek

[Gastblog] Updaten is een pijnlijk proces dat veel tijd in beslag neemt, risico’s met zich meebrengt en voor downtime zorgt. Virtuele updates zijn minstens even veilig, sneller beschikbaar en vrij van complicaties. Fysieke updates blijven noodzakelijk maar voor de dringendste gevaren kan je maar beter voor de virtuele optie gaan.

 
Iedere IT-administrator heeft een haat-liefderelatie met software-updates. Langs de ene kant beschermen beveiligingspatches je tegen hackers die maar al te graag aan de slag gaan met je bedrijfsgegevens, langs de andere kant brengt updaten heel wat nieuwe problemen met zich mee. Compatibiliteit met bestaande en kritieke software kan verdwijnen, er is onvermijdelijk downtime mee gemoeid en als een patch meer kwaad dan goed doet, is het bijna onmogelijk om de wijzigingen ongedaan te maken.
 
Helemaal dramatisch wordt het wanneer onderzoekers een zero day-lek wereldkundig maken. We lopen dan allemaal rond met ons haar in brand.  Wie kan het lek dichten? Wanneer kunnen we de patch testen? Is er zelfs snel een onderhoud mogelijk? Welke systemen en applicaties zijn in gevaar?
 
Slaag je er in om binnen enkele dagen een update voor een kritiek lek uit te rollen binnen je bedrijf, dan ben je snel. Helaas is zelfs een snelle patcher doorgaans te laat: zodra een zero day-lek bekend raakt, springen hackers er op. Zolang de achterpoort open staat, is de vraag niet of je gehackt zal worden, maar hoe vaak. Zo zag ik in een periode van vijf dagen na de onthulling van het ShellShock-lek bij één bedrijf maar liefst 766 aanvallen die gebruik maakten van de nieuwe kwetsbaarheid.
 

Virtuele updates

Gelukkig was dat bedrijf in kwestie beschermd, zelfs zonder dat het daarvoor een software-update had geïnstalleerd. De oplossing staat binnen de sector bekend als ‘virtual patching’, al is ‘vulnerability shielding’ volgens mij een betere naam. Een virtuele patch doet z’n werk in een kleine cocon rond de kwetsbare applicatie of server. Vanuit die cocon wordt het netwerkverkeer grondig geanalyseerd. Het is misschien geen optie om een kwetsbaarheid meteen te weg te werken, maar je kan wel kijken naar de manier waarop hackers ze uitbuiten. Een aanval laat een soort digitale handtekening na in het netwerkverkeer. De virtuele patch gebruikt die handtekening om soortgelijke aanvallen te herkennen en te blokkeren nog voor die van het vers ontdekte lek gebruik kunnen maken.
 
Beeld je in dat de voordeur van je huis niet meer op slot kan, en dat de slotenmaker pas binnen enkele weken de tijd heeft om je te helpen. Raakt een dief tot aan de deur, dan kan hij ongemerkt naar binnen sluipen. Als je echter een groot hek rond je woonst plaatst, en een bewaker aanstelt die in het oog houdt wie er überhaupt tot aan je deur probeert te raken, dan maakt het plots niet zo veel meer uit dat je deurslot stuk is. Virtual patching is de digitale versie van zo’n hek met bewaker.
 
Een virtuele patch gaat het beveiligingslek dus niet meteen te lijf, maar zorgt voor een extra beschermingslaag. Dat zorgt voor bijkomende mogelijkheden. Zo kan je het virtuele patchen automatiseren. Denk daarbij aan een dagelijkse scan van je IT-infrastructuur op nieuwe kwetsbaarheden. Wanneer de scan problemen aan het licht brengt, kan je die meteen oplossen door de detectieregels aan te passen. Van downtime is geen sprake, aangezien de kwetsbare applicatie of server niet offline hoeft.
 

Zero day-lek? Geen probleem

In het beste geval is je virtual patching-systeem gekoppeld aan een database van kwetsbaarheden die volledig up-to-date is. Zo speuren onderzoekers van het Zero Day Initiative fulltime naar nieuwe zero day-lekken. Vinden ze een lek, dan geven ze een fabrikant natuurlijk enkele weken de tijd om het gat te dichten. Pas dan maken ze de vondst publiek. Als de provider van je virtual patch-beveiliging deel uitmaakt van het Zero Day Initiative, dan krijg je nieuwe detectieregels voor zero day-lekken ter beschikking nog voor die wereldkundig worden gemaakt, en is je IT-omgeving beschermd voor de dreiging losbarst.
 
Net zoals bij software patches, is het in uitzonderlijke gevallen natuurlijk mogelijk dat de trafiekdetectie valse positieven oplevert. Misschien werkt een app plots niet meer naar behoren omdat regulier netwerkverkeer onterecht wordt geblokkeerd. In het geval van een softwarepatch zit je dan in de problemen. De software terugrollen naar een vorige versie vereist immers opnieuw downtime en is niet zo vanzelfsprekend. Met virtuele patches krijg je een alarm dat aangeeft welke regel de blokkering heeft uitgevoerd.  Met enkele muisklikken zet je dan die regel in “detect-only” mode, zodat kritieke bedrijfsprocessen niet in het gedrang komen.
 

Win-Win

Een typische patch-cyclus bestaat uit een maandelijks moment waarin beveiligingsupdates (“critial patches”) worden uitgevoerd (zoals Patch Tuesday bij Microsoft), en een halfjaarlijks onderhoud voor de implementatie van grote functionele upgrades. Met een geautomatiseerde virtuele patch-oplossing, krijgt de hacker de indruk dat je computers en servers quasi continu van de nieuwste updates voorzien worden.
 
Enerzijds wordt hiermee het ‘window of opportunity” voor de hacker teruggebracht van een of meerdere maanden naar dagen of uren wat jouw “security posture” (of beveiligingsniveau) sterk doet toenemen. Anderzijds, doordat dit systeem perfect kan geautomatiseerd worden, wordt er ook bespaard op operationele kosten. Conclusie: minder werk, betere beveiliging…een win-win dus!


Chris Van Den Abbeele is Global Solution Architect Datacenter en Cloud Security bij Trend Micro.

beveiligingbusinesspatchtrend microzero day

Gerelateerde artikelen

Volg ons

Het is Black Friday bij bol.com!

Het is Black Friday bij bol.com!

Deals scoren