Elke update brengt risico's met zich mee. Dank voor de onderbouwing met dit artikel.

Klinkt als haastklus om in 1x een hele zwik aan updates te installeren.
Dan kun je problemen verwachten. Ook in je netwerkcapaciteit.

Blijf je netjes up to date met een goede teststraat dan heb je amper issues.

Dit soort berichten voeden slechts het "niet updaten" kamp, zonder dat er ooit wordt verteld wat het probleem dan was zodat anderen het kunnen voorkomen.

Ik zou wensen dat het "risc cacause by not changed in time" als belangrijk risico in ITIL opgenomen zou worden. Nu staat daar enkel dat er een "risc caused by change". Het kamp van niet updaten wordt uit deze ITIL hoek gevoed. Met daarbij een afrekencultuur.

Je zou dit bericht ook kunnen uitleggen als: a/ een bestaand falend change beleid (lange termijn visie) dat b/ een faal veroorzaakte bij een inhaalslag (korte termijn visie). Dan moet je sterk staan met je overtuigingskracht dat de echte oorzaak in de falende lange termijn visie zit.

Het is de zelfde rare houding dat men staat te juichen op het snel afleveren van fixes (korte termijn visie) maar de lang termijn gedegen betrouwbaarheid met security vergeet.

Exact mijn gedachte.

MS17-010 vervangt alleen srv.sys door een gefixte versie die de normale functionaliteit van SMBv1 geheel niet lijkt te beïnvloeden. Ik heb er enkele tests mee gedaan (ook XP en 2003) en geen problemen gevonden. Wel moet je rebooten wat even onbeschikbaarheid betekent. Je moet dus niet als een botte beheerder uitrollen op het moment dat apparatuur in gebruik kan zijn, maar verder kan met deze patch (voor een "wormable" kwetsbaarheid en daarom prio 1) niet zoveel misgaan. Begin daarmee en als andere patches noodzakelijk worden gevonden, test die dan eerst op apparatuur die representatief is voor jouw organisatie.

En klaag er bij Microsoft over dat ze niet meer precies vertellen welke patch precies wat doet en wat de mogelijke bijwerkingen zijn. Alsof alle WSUS klanten ook incompetente hotmailende thuisgebruikers zijn.

Je ken het agile adagium vast wel, je moet fouten durven te maken. In een afrekencultuur met organisaties is elke fout een persoonlijke ramp. Het is nu dat wat van alles blokkeert omdat niemand meer iets durft te doen. Als je wat doet kan het fout gaan. Je zou kunnen zeggen waar geen fouten gemaakt wordt is er iets goed mis want er gebeurt niets. Je moet naar de verhouding kijken wat goed gegaan is en wat fout en dan wat het totaal resultaat /effectiviteit is.
Het is Deming PDCA en kanban. Overigens verfoei ik lean-six sigma met alle belts omdat het te vaak als politieke onderbouwing van iets gebruikt wordt. Heb jij daar ooit mee te maken gehand 4amrak?

Neem nu https://support.sap.com/dam/library/SAP%20Support%20Portal/support-programs-services/methodologies/support-standards/e2e-standard-for-security.pdf met "This document describes the best practices for the security-relevant activities that you need to perform during the operations and optimization phase. "

Dacht je dat de board daarin geïnteresseerd is. Ze willen het product, kopen het en laten door externen installeren om zo snel mogelijk up en running te zijn. De rest komt later wel. Bij die rest zit nu net de lange termijn visie met security patch beleid etc. Kan je als board altijd nog naar externe accountants stappen als het tijd is voor indekken https://home.kpmg.com/nl/nl/home/insights/2017/03/sap-landscape-security.html

De mismatch in visie en strategie tussen OS security en alles wat je er bij zet (netwerk - tools applicaties) is gewoonlijk stuitend. De fouten bij OS admins, tjat.... ze missen de business alignment. Beschouw het maar als de NULL in 3 value logic van een DBMS. Die 3 value logic is voor het werken met onbekende waarden statistisch een vreemd iets.

Ik kan het me levendig voorstellen, die problemen met updates. Op mijn computer ging ik na een vakantie van een paar weken me windows 10 te update. Na un uur en twintig minuten krijg ik een foutmelding dat het nie lukte met de updates. Die met google over internet gezocht en ze zegge dat je ondersteuning voor andere producten van microssoft moet uitzette, opnieuw opstarte en dan weer probere. Da gedaan en nouw, na uren verder is hij nog steeds op 2% van het installeren voorbereide!

Egt, de broek zak toch af van zoiets!

Een Projectmanager heeft nog een duidelijke agenda daar kan ik nog een plan uit halen, met alternatieven mee komen.
JIJ komt met "Dat hebben wij besloten", dat besluiten is iets wat de onkundige beslissers doen op aanreiking van informatie.
Begrijp je omgeving: http://www.dehoopentertrainment.nl/upload/file/Projectmanagement%20en%20organisatie.pdf
De risicofactoren punt 11, evangelisten met verborgen agenda's. Met je laatste zin geeft je je positie prijs.
Ik had je al eerder zo geclassificeerd, je geeft er gewoon meer onderbouwing aan.

4amrak, je springt van hot naar her met je argumenten en evangelie verkondiging zonder een duidelijke lijn behalve je evangelie verkondiging. Aangezien je niet aan de hippe woorden doet, maak je kennelijk geen deel uit van wat er overal speelt. De grotere accountant advies bureaus promoten die zelfde aanpak namelijk overal.


De gedachtenexperiment met die change "geen risico" klinkt leuk maar is onzin.

De tegenvoorbeelden:
- Stel je bent een grote bank met betalingsverkeer. Er is iets dat klanten klagen dat soms wel soms niet betalingen afbreken of dat er een SOC man langs komt dat er mogelijk een hack is geweest. Wat ga je doen?
Leg je alle betalingen subiet stil en laat de leverancier komen voor de fix als al weet wat er gefixed moet worden. Dan kan de service over 3 dagen wel hervat worden. Of probeer je er zoveel mogelijk door te krijgen en op stillere momenten analsye en een oplossing zien te vinden.
Dit zijn overigens praktijkvoorbeelden, niets verzonnen of gedachtenexperiment.
Target had die keus met een hack naar de pos, maar het signaal zat net voor in de kerstverkooppiek.
Dat andere, daar heb ik zelf dichtbij gezeten waar de oorzaak in de beste routers (Cisco topmodellen) zat waarbij het aantal paden met een out memory probleem sessies liet afbreken. Als je het zou weten kon je er op plannen en monitoren maar niemand wist dat dus was het wachten er op dat het fout gaan.

- Stel je moet in een rack / datacenter een doosje bijplaatsen alle voeding is dubbel uitgevoerd. Of stel je moet een configuratie voor een paar VM's wijzigen. Wat dacht je, geen risico toch.
Dit zijn overigens praktijkvoorbeelden, niets verzonnen of gedachtenexperiment.
Dat laatste is een met tikfoutje ec3 van geheel AWS naar beneden gehaald duurde vrij lang totdat alles weer terug was. Je zou maar met iets tijd kritisch bezig zijn. Het draait in de cloud dus veilig, niet onze verantwoordelijkheid.
Doosje er in stekker aan de ene kant (voeding) er in ..... de hele zaal valt ineens stil. Verbazing alom, dat was toch onmogelijk maar bleek toch te gebeuren met iets in aardebescherming wat wel gekoppeld bleek.

Ik heb genoeg van dat soort verhalen zelf meegemaakt uit eerste hand gehoord en teruggelezen in het nieuwsberichten. Een ieder die ze niet kent heeft geen ervaring in de ICT wereld.

Voor het patchen
- Ooit kan je het met plakband afdoen, gaatje op een ponskaart afplakken of er gaatjes bijmaken.
Grootse risico verkreukelen van die dingen en het uit je handen laten vallen. zeker met 60cm lengte als stapel een optie.
- ooit had je een geheugengebiedje waar je de machinecode assembler fix in kwijt kon (zappen)
Wat is nu het gedoe?
Je krijgt een flinke hoeveelheid code/executables aangeleverd. Je gebruikt er maar een klein gedeelte van en er zijn zo veel componenten met onderlinge afhankelijkheden dat als je ergens iets veranderd er een hele keten van veranderingen losgetrokken wordt. Hoe vaak zie je niet dat voor deze fix eerst die een die aangebracht moeten zijn etc etc.

Je gaat echt niet dagelijks zittten bijwerken omdat er updates zijn. Je gaat bijwerken omdat je last van bestaande fouten hebt. securitylekken zijn geen functionele fouten dus een noodzaak vanuit die kant is er niet. Doe je de updates gebundeld op geplande momenten met testen dan heb je door de planning meer tijd nodig.


Laat ik met je gedachten experiment meedoen. Cern doet deeltjes onderzoek en zo'n meetrun is een vrij kostbare aangelegenheid. Nu mag jij de updates van de meetinstrumenten gaan doen. Jij voert dat uit tijdens zo'n meetrun, het was immers toch risicoloos. Hoe lang denk je dat je daar over de vloer mag komen. Waarom deed je niets tijdens die 17 weken lang stillegging en ging je acties doen tijdens het draaien... Ik vermoed: nog één keertje ergens een kopje koffie.
https://home.cern/about/updates/2017/04/lhc-has-restarted-its-2017-run

Als je de wetenschappelijke wereld als heilig verklaard heb je gemist dat :
- echte grote doorbraken door zittende heersende wetenschappers te vaak geblokkeerd zijn door nieuwkomers
- de huidige wetenschappelijke wereld bestaat uit commerciële belangen met daarbij publicatiedrift en bevestigingsdwang. Vraag het even aan Stapel en Roos Hoe zo iets gaat.
- een echte wetenschapper had ander gedrag getoond dan jij en 4amrak. Hij mag zijn papiertjes hebben, zoiets zegt mij niets. Het moet getoond worden. Met inhoudsloze buzzwords van evangelisten heb je niets. Een evangelist in de eigen kerk is lastig om als dusdanig te plaatsen. Dat is duidelijk

Dat klopt dat was nu net het probleem met die wetenschappers.
Lijkt me een prima doelstelling als een "free of mind" uitgangspunt. Of wel je zeggen dat je enkel horige slaafjes wenst.
Ik niet maar jij en je vrindjes tonen aan er uitstekend bedreven in te zijn. Je kent 4amrak persoonlijk toch.
Ik pas me wel aan het niveau van de opponent. Ik weet niet of de opponenten daartoe ook in staat zijn.

Ik heb heel wat slimmen mensen gezien, die heel hoop opgeleid waren. Toppers in hun vakgebied. Maar een computer, wat zijn maar lastige dingen. Een schilderij ophangen niet mijn doen. Auto, die moet het gewoon altijd doen. Echt intelligent in andere vakgebieden waren ze niet.

Zo zijn er ook zat ICT'ers die heel goed (intelligent) in hun vakgebied zijn, maar alleen in hun vakgebied. Maar de ergste zijn, die dan ook nog eens denken in andere vakgebieden de intelligentie te hebben. Maar waar ze al de basis missen en er dus helemaal niets van bakken.

Dus wat is intelligentie?