Tot op heden samen met de tip die verwijst naar Virtual Patching het beste antwoord op mijn vraag. Dank hiervoor!
niet om het een of ander, hoe ben jij nu in staat te bepalen wat het beste is als je voorheen met de vraag bent gekomen? het enige wat je kunt doen is zeggen dat dit je het beste LIJKT vooralsnog, toch? geheel de zaak overzien en snappen kun je namelijk nog niet.
hier dan een goed bedoeld addertje on het gras uit de praktijk:
die ISO items lijkt heel zinnig en om eerlijk te zijn ook eerder joh duh boeren verstand gebruiken, maar de crux zit em in de lastigheid van de juiste risico inschattingen.
te vaak en te veel merk ik dat de beheerder in IT organisaties "zich niet voor kan stellen dat iemand zo slim en handig etc is" => een risico als laag in schatten => powned. wat hier aan de hand is is weer met beperkte kennis van zaken verantwoordlijk voor iets zijn. daarbij horen multi-dimensionele aanpakken. ja goede risico management, maar ook best practises en een goed ingeregelde organisatie die dat werk dan naar behoren (en geverifieerd) doet. en dan heb je natuurlijk nog dat als er een patchje binnen komt die heel vlot doorgevoer kan zijn, ook al is het met een klein ingeschat risico gepaard, je het beste een organisatie of omgeving kunt hebben die die patch dan ook vlotjes door kan voeren. nog beter is zo dat je een organistaie / omgeving hebt waarbij je ook efficient patches die mis lopen vlot terug kunt draaien. en helemaal geweldig zal zijn asl je omgeving / organisatie dat ook nog eens aan juniors (druk maar op knop no thinking involved) voor het dagelijkse gedoe over kan laten.
afgelopen week ook weer zo een discussie met de pkexec patch. de update was er, was een kwetsie van 'yum update' te runnen et voila klaar, maar iemand in de organistaie vond het maar eng en lastig en discussie discussie discussie en toen eventjes verderop gewezen op een publikelijke POC exploit en gedemonstreerd dat je daarmee kakkend simpel root kreeg en toen ja ok dan maar "yum update" runnen. hadden we dit niet laten zien, die POC, dan was dat systeem met meerdere gebruikers nog steeds niet gepatched! daartegenover een omgeving waarbij die "yum update" elke dag automatisch draait en bij een issue een "yum history undo" gedaan kan worden, die was ASAP vanzelf zonder moete gepatched en had een veel kortere tijd dat het systeem kwetsbaar was. helemaal mooi is als dat system dagelijke een 'oscap oval eval' rapport genereerd dat met vele groene vinkjes laat ZIEN duidelijk voor iedereen (aan het SOC oid) dat de machine up to date en gepatched is volgens de laatste RHSAs.
lang verhaal in het kort, vertrouw niet alleen op papieren ISO afspraken en regels, je hebt met inperfecte mensen te maken die ook nog eens van alles in twijfel gaan brengen zodra iets te complex of groots voor ze wordt. probeer zo veel mogelijk automatisch te laten lopen en 'agile' te zijn.