CISO Diaries: Waarom Patch Tuesday de beste vriend van elke CISO is
Patch Tuesday werd door Microsoft ingesteld in de dagen van Windows 98 en heeft betrekking op maandelijkse updates en een periodiek overzicht van enkele van de grootste exploits en kwetsbaarheden in de beveiliging die het moderne digitale landschap verwoesten. Als Chief Information Security Officer (CISO) is dit een fantastische gelegenheid voor mijn team en mijzelf om onze verdediging te kalibreren en de vinger aan de pols van de cybersecuritybranche te houden.
Effectieve tradities in stand houden
Elke maand komt Patch Tuesday, die voor Microsoft om 10.00 uur PST begint, met verschillende patches die ons team moet implementeren. Om te zorgen dat er voldoende tijd is om deze patches te implementeren, raad ik andere CISO’s aan de agenda’s van hun team voor de daaropvolgende woensdag en donderdag leeg te maken. Die paar dagen na het implementeren van de patches zorgen echter ook voor een risicovolle “gouden 72 uren“ waarin cybercriminelen de gepubliceerde fixes kunnen analyseren en deconstrueren om kwetsbaarheden te creëren. Helaas valt het 72e uur net op een vrijdag, waardoor kwaadwillenden hun aanval kunnen uitvoeren terwijl IT-teams aan hun weekend beginnen. Dit is een van de negatieve beveiligingsimplicaties van de patch. Ook al helpt deze de algehele gezondheid van platforms en systemen te verbeteren, de patch zorgt tegelijkertijd voor nieuwe kansen voor cyberterroristen. Daarom is het voor de gezondheid van uw bedrijf van het grootste belang om de dagen na Patch Tuesday open te houden voor updates en patches om criminelen een stap voor te blijven.
Het beveiligingsteam van Acronis dat verantwoordelijk is voor risicobeoordeling heeft specifiek opgeleide mensen. Deze professionals scannen grote aantallen computers op kwetsbaarheden, wat van mij een foutloze prioritering vereist, met diagrammen die door de betreffende teamleden worden opgesteld om het geheel georganiseerd te houden. Als u die tactiek ook in uw organisatie toepast, raad ik u wel sterk aan die teamleden maandelijks te laten rouleren. Als u er bovendien voor kiest uw systemen te diversifiëren, moet u er klaar voor zijn om al die systemen op een bepaalde dag te patchen.
Vorige week werd een hele reeks fixes voor kwetsbaarheden in diverse Microsoft-producten bekendgemaakt. Een van die kwetsbaarheden kwam voor in de Microsoft Support Diagnostic Tool (MSDT) die een paar maanden geleden met succes werd aangevallen (Microsoft bracht een workaround uit maar het duurde toch nog een hele tijd voordat ze met een afdoende oplossing kwamen), maar er was ook een bijzonder vervelende serie kwetsbaarheden in de Exchange-server en een kwetsbaarheid met RCE (remote code execution) in PPTP. Het totale aantal RCE-kwetsbaarheden dat deze keer werd opgelost bedroeg maar liefst 31, een nieuw record. Bij Acronis gebruiken we verschillende van deze producten, waarvan er sommige zelfs met internet verbonden zijn. Wanneer we van deze kwetsbaarheden op de hoogte worden gebracht, voeren we controles uit op blootstelling en gevoeligheid, waarna we de prioritering van het patchen van die kwetsbaarheden baseren op factoren zoals zichtbaarheid op internet en de gevoeligheid van de data die door het kwetsbare systeem werden beheerd.
Als wereldwijd opererend bedrijf kunnen we onze systemen helaas niet opnieuw opstarten zonder dat dit ergens in de wereld invloed heeft op het aantal werkuren. We doen er alles aan om te zorgen dat workloads tijdens die reboots zo weinig mogelijk hinder ondervinden, maar de overlast die we daarmee een paar teamleden berokkenen weegt niet op tegen de keuze onze systemen, en daarmee onze teamleden, veilig en beschermd te houden. Als CISO begrijpt u dat uitvaltijden soms onvermijdelijk zijn en dat er in overleg met de bedrijfstop enige soepelheid moet worden betracht wat betreft deadlines en verwachtingen tijdens die uitvaltijden. Maar vergeet ook niet degenen die met de uitvaltijden te maken krijgen, op tijd op de hoogte te brengen.
Leveranciers zouden er ook mee in moeten stemmen elke maand aandacht te geven aan Patch Day (de 2e dinsdag van de maand) omdat IT-teams daardoor minder belast worden en ze kwetsbaarheden makkelijker kunnen patchen en zich de rest van de maand op andere prioriteiten kunnen richten. Daarvoor moet u wel kunnen vertrouwen op iets dat kan helpen bij het inventariseren van de software, zoals een Acronis-agent of andere beschikbare tools.
Dinsdag 9 augustus werden kwetsbaarheden met Adobe Acrobat Reader bekendgemaakt en werden er patches uitgerold om twee cruciale kwetsbaarheden in de beveiliging op te lossen. Die kwetsbaarheden vormen voor ons bij Acronis niet zo’n probleem omdat onze automatiseringssoftware deze patches effectief kan implementeren, maar voor organisaties die NIET beschikken over hulp van derden met automatisering, zorgt dat voor grote problemen die met handmatige patching opgelost zullen moeten worden. Nogmaals, zorgen dat u voorbereid bent op kwetsbaarheden, regelmatig patches uitvoeren en uw organisatie voorzien van de juiste tools zijn de beste manieren om uitvaltijd te beperken en periodieke patches en systeemupdates soepel te laten verlopen.
Geef voorrang aan maandelijks onderhoud
Het komt erop neer dat Patch Tuesday een van de beste tools is om uw cyberverdediging actueel en veilig te houden. Deze niet-officiële, beproefde traditie biedt CISO’s en hun teams de mogelijkheid om onderhoud en uitvaltijden in te plannen en onderbrekingen voor zowel de bedrijfsvoering als de systemen tot een minimum beperkt te houden. Door de juiste voorzorgsmaatregelen te treffen en u elke maand voor te bereiden op Patch Tuesday, blijven uw systemen veilig en gezond, en neemt u eventuele zorgen weg om de infrastructuur voortdurend actueel en gepatcht te houden.
Cyberbeschermingsagents zoals Acronis Cyber Protect kunnen helpen uw systemen geautomatiseerd te houden en Patch Tuesday elke maand steeds soepeler te laten verlopen. Volg gewoon de “gouden 72 uren” en zorg dat uw systemen nog voor het weekend gepatcht en klaar zijn om aanvallers de pas af te snijden!
Dit artikel is geschreven door één van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.