Column: Security patches zijn zo veilig niet
Dataverkeer, zonder vertraging, zonder verstoring en zonder dat derden de inhoud wijzigen is uitgegroeid tot de levensader bij uitstek van elke organisatie. Aan de andere kant is ook het besef toegenomen dat systemen en datastromen daarom maximaal beveiligd dienen te zijn. Leveranciers en afnemers getroosten zich als gevolg hiervan inspanningen om dat doel te bereiken.
Ook bij UWV (Uitvoeringsinstituut Werknemersverzekeringen) staat beveiligen van de bedrijfssystemen hoog in het vaandel. Jaarlijks gaat er ruim 22 miljard euro door de systemen en onze stakeholders rekenen er (terecht) op dat hun premies en uitkeringen in goede handen zijn.
Een goed opgezette informatiebeveiliging heeft weinig te maken met het ‘blind’ installeren van alle veiligheids-patches die aanwezig zijn. Het adagium bij UWV is: ‘Security patches zijn zo veilig niet.’ Patches voor Internet Explorer 7, Mediaplayer of Outlook Express zijn niet noodzakelijk in een zakelijke omgeving. Immers, het ondoordacht installeren van veiligheids-patches kan bij veel ondernemingen (en dus ook bij UWV) tot verstoring leiden van de informatievoorziening. Idealiter moet je elke verandering in de informatievoorziening testen in een gespiegelde productieomgeving. In de praktijk is dat echter niet altijd mogelijk om voor de hand liggende redenen als de grootte van het serverpark, de complexiteit van hybride systemen en financiële belemmeringen.
Het allerbelangrijkst is patch-beheer procesmatig te benaderen en niet aan te pakken vanuit de techniek. Bij UWV is patch-management onderdeel van de risicomanagement-analyses die wij continue uitvoeren. Wij realiseren ons terdege dat verandering zonder regie een groot gevaar kan opleveren voor de continuïteit van de informatievoorziening en daarmee van de bedrijfsvoering.
In de meest ideale situatie adviseert een speciale adviescommissie welke patches worden geïnstalleerd op welk platform. In die commissie brengen we diverse inhoudelijk deskundigen bij elkaar op het gebied van security, platforms, applicaties en change management. Dat is voor UWV dé manier om patchbeleid onderdeel te maken van de regievoering op niet standaard wijzigingen binnen de ICT organisatie en daarmee de gevaren van het ongenuanceerd installeren van veiligheids-patches uit te sluiten.
Door Max Bohnsack Teammanager Technisch Risico Management UWV
kort. Verandering zonder regie is blijkbaar het ergste dat je blijkbaar kan
overkomen. jammer genoeg is de techniek vergeven van de dynamische
en zelfregulerende zaken, die zonder regie veranderen - de hele tijd. Zoals
een harddisk die uitfikt zonder regie - Foei! OSPF gebruiken we niet,
hebben we geen regie over. PnP - moet UIT, gaat zonder regie. Geen
DynDNS. Garbage collection als autonoom proces zonder regie? WEG
ermee.
'Ongenuanceerd installeren' is het ergste, iets doen zonder vergaderen in
een adviescommissie. Het is maar hoe je je dagen doorbrengt, en in
hoeverre je nog zicht op de realiteit houdt.
installeren van de patches. Of je neemt het risico dat het installeren van
een patch verstoringen in applicaties veroorzaakt, of je neemt het risico om
patches pas na uitputtend te hebben te hebben getest uit te rollen. In mijn
ogen is de tweede optie niet de beste, immers bij misbruik van een lek
loop je dan achter de feiten aan en is er geen snell weg terug.
Mijn procesvoorstel:
Dag 1: Test patches kort. (uitrol/rollback)
Dag 2: Rol patches uit naar machines met een oneven ip-nummer
Dag 3: Rol patches uit naar machines met een even ip-nummer
Hou in de tussentijd het nieuws in de gaten.
Als bovenstaand proces wordt doorgetrokken geld dit ook voor malware
defenites en scan-engines. m.i. is het proces opgezet om de techneuten te
frustreren en de verantwoordelijken te ontlasten.
houden met de vraag welke patch wel of niet wordt
geïnstalleerd. Ik had de ijdele hoop dat mijn belastinggeld
beter zou worden aangewend.
te maken met het ‘blind’ installeren van alle
veiligheids-patches die aanwezig zijn. Het adagium bij UWV
is: ‘Security patches zijn zo veilig niet.’ Patches voor
Internet Explorer 7, Mediaplayer of Outlook Express zijn
niet noodzakelijk in een zakelijke omgeving. Immers, het
ondoordacht installeren van veiligheids-patches kan bij veel
ondernemingen (en dus ook bij UWV) tot verstoring leiden van
de informatievoorziening. Idealiter moet je elke verandering
in de informatievoorziening testen in een gespiegelde
productieomgeving. In de praktijk is dat echter niet altijd
mogelijk om voor de hand liggende redenen als de grootte van
het serverpark, de complexiteit van hybride systemen en
financiële belemmeringen.
Duidelijk geschreven door iemand die absoluut niet weet wat
het nu inhoud om patches te installeren en hoe je dat zou
moeten doen.
Afhankelijk van je geinstalleerde applicaties hoor je een
conflict database bij te houden. Daarmee kan je testen of er
überhaupt een applicatie last zou kunnen hebben van een
nieuwe patch. Deze applicatie zou je dan moeten testen.
Mocht er een applicatie daadwerkelijk last hebben, dan ga je
pas een risico analyse doen.
Financiële belemmeringen mogen nooit de boventoon kunnen
voeren als het aankomt op de veiligheid van je gegevens en
infrastructuur. Het kan wel meewegen in de uiteindelijke
beslissingen maar is nooit een sleutel factor.
benaderen en niet aan te pakken vanuit de techniek. Bij UWV
is patch-management onderdeel van de
risicomanagement-analyses die wij continue uitvoeren. Wij
realiseren ons terdege dat verandering zonder regie een
groot gevaar kan opleveren voor de continuïteit van de
informatievoorziening en daarmee van de bedrijfsvoering.
Wederom gaat de schrijver hier in de fout. Het moet precies
andersom zijn. Risicomanagement-analyses zijn een onderdeel
van patch-management.
'Ongenuanceerd installeren' is het ergste, iets doen zonder
vergaderen in
een adviescommissie. Het is maar hoe je je dagen doorbrengt,
en in
hoeverre je nog zicht op de realiteit houdt.
ongenuanceerd (dus ongetest) in de productie wordt gegooid
en daarmee een cruciaal systeem plat kan leggen, je toch wel
degelijk enige nuancering aan wil brengen...
Natuurlijk moet het vergaderen niet gebeuren "om het
vergaderen", maar het UWV geeft ook aan dat zij niet
installeren "om het installeren", met andere woorden:
patches worden uitgebreid getest en beoordeeld voordat ze in
de productie losgelaten worden. Zeker met de Microsoft
patches is dat geen overbodige luxe: veel patches zijn
domweg niet terug te draaien zonder een herinstallatie van
het systeem, en al helemaal niet als het om security
roll-ups gaat!
websites gedisplayed moeten worden.
Dat is vragen om problemen en is in feite onderdeel van risk mitigation.
systemen waarschijnlijk niet up-to-date zijn.
Interessant.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
