We weten allemaal dat patchen belangrijk is, we zijn allemaal voorstander van efficiënt beheer rond updates, en we kennen allemaal de risico’s van een datalek als er iets misgaat. Dus waarom is het daadwerkelijke proces voor het updaten van systemen in de hele onderneming nog steeds zo moeilijk? Wat kunnen we doen om dit te verbeteren?
De antwoorden op deze vragen liggen vaak in een beter gebruik van technologie, maar ook in de organisatie van teams, het beheer van processen en het motiveren van gedrag.
Waar staan we op dit moment?
Volgens het Ponemon Instituut kreeg bijna de helft van alle organisaties in de afgelopen twee jaar te maken met een of meer inbreuken op IT-systemen. Daarvan kon 60 procent plaatsvinden doordat cybercriminelen gebruik maakten van bekende kwetsbaarheden. Daar waren weliswaar patches voor beschikbaar, maar deze waren (nog) niet toegepast op de systemen. Hoewel de uitgaven voor beveiliging volgens Gartner in 2021 wereldwijd tot meer dan 150 miljard dollar zullen stijgen, zijn deze bekende problemen nog steeds moeilijk aan te pakken.
Ongepatchte bedrijfsmiddelen zetten de deur open voor ransomware. Cybercriminelen gebruiken bovendien meerdere routes om potentiële doelen aan te vallen. Daartoe behoren ook ongepatchte problemen zoals de Microsoft Windows Server Message Block-kwetsbaarheid, inmiddels beter bekend als EternelBlue. Aanvallen met ransomware kunnen leiden tot het eisen van losgeld en de dreiging dat gestolen gegevens openbaar worden gemaakt als er niet betaald wordt.
Hieruit blijkt hoe belangrijk het is om patches te implementeren zodra die beschikbaar zijn. Het is op zich niet erg ingewikkeld om afzonderlijke bedrijfsmiddelen te patchen. Toch kunnen veel IT & Security teams het werk nauwelijks aan. Dat komt door de op silo’s gebaseerde processen die tot veel handmatig werk leiden. Daarnaast ondervinden IT-teams problemen wanneer zij geen volledig inzicht hebben in hun IT-omgeving en het door werkdruk en personeelstekort moeilijk is om hun huidige taken uit te voeren.
Begin bij het begin
Wie patches en kwetsbaarheden goed wil beheren, moet allereerst de bedrijfsmiddelen goed beheren. Dat begint met een overzichtelijke en volledige inventaris. Zonder een lijst van alle apparaten, systemen en applicaties is het onmogelijk om te weten dat alle benodigde patches zijn toegepast.
Deze inventaris maakt het vervolgens mogelijk om te controleren hoe de uitrol van patches en compliance er op dit moment voor staan. Dat maakt ook duidelijk waar organisaties nog tekortschieten. Deze aanpak brengt aan het licht waar de meeste inzet nodig is om incidenten te voorkomen, vooral als er serieuze dreigingen zijn die misbruik maken van die kwetsbaarheden. Zo kan men voorrang verlenen aan specifieke bedrijfsmiddelen bij de implementatie van patches. Dit is voor elke organisaties anders en afhankelijk van welk risiconiveau aanvaardbaar is voor bepaalde bedrijfsactiviteiten.
Breng de theorie in de praktijk
Deze stappen zijn standaard voor alle IT-beveiligingsteams. De overgrote meerderheid van ondernemingen beschikt over diensten en technologieën om hen te helpen kwetsbaarheden te beheren, dus waarom is dit nog steeds problematisch?
De eerste reden is dat het team dat verantwoordelijk is voor het signaleren van kwetsbaarheden, niet het team is dat de patches toepast. Het beheer van kwetsbaarheden ligt meestal bij het IT-securityteam. Het daadwerkelijk patchen van IT-middelen, zoals desktops, is echter vaak de verantwoordelijkheid van het IT-beheerteam of de IT Service Management (ITSM)-afdeling. Bovendien hebben veel bedrijven elementen van hun IT uitbesteed aan externe dienstverleners en zijn zodoende afhankelijk van het updateproces van die partij.
Patch management is complex, of er nu een volledig intern team is of er meerdere externe partijen bij komen kijken. Er zijn gevallen bekend waarbij het patchproces de goedkeuring vereist van tientallen mensen. Deze moeten allemaal elke wijziging accorderen voordat deze live kan gaan. Als er sprake is van een kritieke patch die direct toegepast moet worden, kan zo’n bureaucratische organisatie het proces vertragen en leiden tot meer risico’s dan het voorkomt.
Daarom is het raadzaam om het proces van patch management te beheren in samenhang met de patchprioriteiten. Waar is er ruimte om het hele proces te verbeteren, zodat het nog steeds aan ieders behoeften voldoet, maar snelle patching niet in de weg staat? Dit kan inhouden dat sommige mensen er niet bij betrokken hoeven te worden of dat het makkelijker moet zijn voor mensen om goedkeuring te geven voor kritieke updates die direct geïmplementeerd moeten worden.
Wie is verantwoordelijk?
Het is ook de moeite waard om te kijken naar de prestatiecijfers waarop het securityteam wordt afgerekend en de doelen die andere teams moeten halen. Staan de KPI’s de efficiëntie van patching in de weg staan of helpen zij juist om de prestaties te verbeteren?
Een IT-beheerteam moet de uptime van systemen en de beschikbaarheid van diensten bewaken. Als dat team ook verantwoordelijk is voor de implementatie van patches, kunnen die twee taken met elkaar in conflict komen. Bijvoorbeeld doordat het uitvoeren van een patch van invloed is op de andere servicelevels. Het team zal de patch dan pas willen uitvoeren als de goedkeuring is verkregen. Het team kan ook, uit het oogpunt van efficiëntie, liever meerdere patches tegelijk regelen dan één voor elk afzonderlijk risico. Beheertaken staan zo boven securitytaken en daarom is het goed om te kijken naar hoe deze taken worden ingedeeld en uitgevoerd, zodat zowel de security als het beheer ervan profiteert. Het is ook belangrijk om het contract en de servicelevels van externe dienstverleners te controleren en hen te stimuleren beheer en security in de juiste balans te houden.
Door hier zakelijk naar te kijken, en niet als technisch probleem, zal het management eerder geneigd zijn een efficiëntere uitrol van patches en snellere updates te ondersteunen. Het is niet eenvoudig om business unitmanagers te laten kijken naar patch levels en updates. Door KPI’s op te stellen voor deze managers rondom de updatestatus, zijn ze echter wel gemotiveerd om hun prestaties te verbeteren en alles zo veel mogelijk up-to-date te houden.
Automatisering
De samenwerking tussen security- en beheerteams verloopt ook beter door het automatiseren van patch management. Er is minder discussie tussen de teams nodig en het verwijdert een deel van het handmatige werk voor niet-kritieke applicaties en valideert patches voorafgaand aan de implementatie. Het is ook mogelijk om onderzoeksgegevens over ransomware en bedreigingen in te zetten om patches voor specifieke problemen te automatiseren.
Het verbeteren van patch management, en in het verlengde daarvan de manier waarop we omgaan met kwetsbaarheden, vraagt om een beoordeling van processen, samenwerking en doelstellingen. Nadenken over de bredere impact van patching verbetert de manier waarop dit aan het bedrijf wordt geleverd.
Chantal ’t Gilde, managing director Benelux & Nordics van Qualys.
