"Apple moet Microsoft patchdinsdag instellen"
Apple bracht deze week tal van updates uit voor iTunes, Safari, iOS en OS X, zonder dat Mac-gebruikers dit van tevoren wisten of zich hierop konden voorbereiden. Apple moet dan ook net als Microsoft een patchdinsdag instellen, zegt Dennis Fisher van Kaspersky Lab. Zo verwijdert iOS 5 DigiNotar van iPods en iPads, ruim een maand nadat de problemen met de Nederlandse SSL-uitgever bekend werden. Daarnaast werden ook talloze bekende lekken in de Webkit-engine verholpen.
"Het is duidelijk dat het tijd is dat Apple de moderne wereld volgt een vast patchschema instelt", laat Fisher weten. Het maakt dan niet zoveel uit of de updates elk kwartaal, zoals Adobe en Oracle doen, of elke maand verschenen, zoals Microsoft doet. "Wat belangrijk is, is dat Apple gebruikers een idee geeft wanneer ze beveiligingsupdates voor bestaande problemen uitbrengen."
Cyclus
Daarnaast moet Apple ook beter communiceren. Na DigiNotar en de BEAST SSL-aanval kwamen Mozilla, Microsoft en Adobe allemaal met verklaringen waarin ze vertelden het probleem te zullen oplossen of wanneer er een update verschijnt. Apple doet dit niet. "Als gevolg van deze radiostilte heeft Apple ook geen duidelijk geluid over security. Het heeft nooit een publieke woordvoerder gehad of securityhoofd die vertelt wat het bedrijf van bepaalde beveiligingsproblemen vindt."
Met name voor bedrijven waar steeds meer Apple producten verschijnen is het belangrijk dat "Cupertino" een vaste patchcyclus implementeert. Mogelijk dat het, net als bij Microsoft, bedrijven zullen zijn die dit Apple kunnen bijbrengen. "Hoe het ook zij, het moet snel gebeuren. Omdat Apple klanten nu in het donker worden gehouden over security, en dat is gewoon niet goed genoeg meer", besluit Fisher.
Het maakt niet uit of ze dat ieder kwartaal doen ? Een vulnerability mag dus best een kwartaal blijven zitten, zolang de updates maar periodiek komen ? Jaarlijks is dus ook goed, als je maar weet wanneer de updates komen ?
Wanneer de kritiek is dat Apple sneller moet updaten: ja, dat is zeker zo. Vaak duurt het gewoon te lang. Maar daar gaat een periodiek schema echt niets bij helpen.
Door een vast update patroon aan te houden kunnen bedrijven inspelen op deze planning door bijvoorbeeld updates tegen te houden (bijvoorbeeld WSUS) of mensen te waarschuwen voor een update. Daarnaast kan men er voor zorgen dat een update ook gefaseerd wordt uitgerold om problemen met applicaties te voorkomen.
Een voorbeeld, er was eens een bedrijf, die gebruikte een plugin voor Microsoft Office Word. Door een patch in Word werkte deze niet meer en konden 1200+ mederwerkers Word niet meer gebruiken en de bijbehorende applicatie die de plugin aanstuurde. Bij een goed patch beleid was dit nooit voor gekomen. Bij Microsoft kan dit tegenwoordig goed geregeld worden, voor Adobe bestaan er GPO templates om dit te regelen, alleen bij Apple, tja, daar wordt je altijd te laat geconfronteerd met de gevolgen. Kortom Apple is leuk hobby materiaal, maar niet geschikt voor bedrijven.
Daarnaast zie ik zelden dat een bedrijf haar systemen update met de nieuwste updates/servicepacks.
Grote bedrijven als Shell staan erom bekend dat zij alle updates hard negeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!