Beveiliging door updates en patches

Hadden we het vorige week nog over onderhoud waar we met name doelen op de onderhoud van allerlei systemen om te voorkomen dat componenten de “end-of-life” status bereiken. Nu gaan we in op het onderhoud van de software en applicaties. De vraag is daarom:

Wordt er voor gezorgd dat de software altijd up-to-date is en dat de laatste patches op een veilige wijze zijn doorgevoerd?

Aan het doorvoeren van updates en patches zitten meerdere kanten, maar we belichten er twee, namelijk:

  • Waarom zouden we updates en patches doorvoeren?
  • Hoe kunnen we updates en patches doorvoeren?

 
Het waarom lijkt natuurlijk simpel. We willen ervoor zorgen dat er geen beveiligingslekken zitten in de software en applicaties die we gebruiken. Door verouderde software te gebruiken kunnen er lekken ontstaan waarmee ongeautoriseerde toegang tot onze informatie mogelijk wordt. Hoewel het antwoord simpel is, zien we nog te vaak dat updates en patches niet of veel te laat worden doorgevoerd. Enerzijds omdat we niet weten dat er een update of patch is, anderzijds omdat we het nogal lastig vinden om ze door te voeren: het werkt toch?

Daarmee belanden we bij de tweede vraag: Hoe kunnen we updates en patches doorvoeren? We richten daar natuurlijk het patchmanagement proces voor in. Daarvoor gebruiken we de formats van ITIL en klaar zijn we, toch? Nou niet helemaal. We moeten er bijvoorbeeld rekening mee houden dat het doorvoeren van updates en patches ook risico’s met zich meebrengt. Het kan zomaar zijn dat door een update het systeem niet meer werkt zoals we willen.

Het klinkt misschien wat cryptisch. Maar stel: je hebt een Iphone waarmee je uiteraard kunt bellen, je mail kunt lezen en nog wel wat meer “smart” dingen kunt doen. De batterij gaat lekker lang mee en je hoeft dus niet al te vaak op te laden. Je koppelt je Iphone aan je Itunes en ziet dat er (weer) een update is. Je besluit om maar even snel de update door te voeren zodat je weer helemaal bij bent. Halverwege de update loopt je Iphone vast en je moet het proces opnieuw herhalen (in de hoop dat het nu wel gaat lukken). Maar, ja hoor, na de tweede keer is het gelukt. Je kunt weer vrolijk bellen en mailen. Maar je constateert wel dat de batterij ineens een stuk minder lang meegaat dan je gewend bent.

Een voorbeeld dat we allemaal wel kennen, toch? Heb je geen Iphone? Dan geldt dit vast ook voor de Blackberry of Nokia. Geloof het of niet, maar een telefoon is voor vele mensen tegenwoordig toch echt een kritisch systeem, zonder telefoon weten we ons geen raad meer. Dit vergelijk kunnen we doortrekken naar de applicaties die we op ons netwerk hebben draaien. Het kan zomaar zijn dat een update of patch er voor zorgt dat het allemaal niet meer zo soepel wil werken, dat we niet meer bij de informatie kunnen en dat het proces tot stilstand komt.

Je moet er niet aan denken, toch? Dan maar liever geen update doorvoeren, maar ja, dan zitten we met het feit dat er gaten in onze software zitten waarmee we een gewild slachtoffer kunnen worden. Maar gelukkig is een een remedie. We testen updates en patches eerst in een test omgeving. We hebben niet voor niets de teststraat, toch?

Ook hiervoor geldt weer dat we keuzes zullen moeten maken. Is de patch zo kritisch dat we niet eerst uitgebreid kunnen testen (en er maar het beste van moeten hopen) of kan de update best een dagje wachten en kunnen we eerst een goede test uitvoeren? Dat is de vraag die we situationeel zullen moeten beantwoorden. Zaken om rekening mee te houden bij het opzetten van het patchmanagement proces.

Doorsnee website 270 dagen per jaar lek

De gemiddelde website heeft 270 dagen per jaar met een ernstig beveiligingslek te maken, zo blijkt uit onderzoek onder meer dan drieduizend websites. 64% van de geteste websites had met “information leakage” te maken, net iets meer dan cross-site scripting dat voorheen altijd op de eerste plek stond (bron).

Op zich een opmerkelijk bericht, hoewel je bij statistieken natuurlijk altijd de eigenlijke bron moet onderzoeken. Nou, helaas, die bron ga ik in ieder geval niet onderzoeken en we nemen de gegevens maar even voor waar aan.

64% van de websites lekt informatie. Jammer genoeg staat er niet bij om wat voor soort informatie het gaat. Websites zijn juist bedoeld om informatie te verstrekken, maar over die informatie hebben ze het vast niet. Nee, ze zullen het meer hebben over gevoelige informatie. Wat dan gevoelige informatie is, wordt helaas niet duidelijk. Is het bijvoorbeeld mogelijk om het achterliggende besturingssysteem te zien of is het mogelijk om via de betreffende websites op de netwerken van de organisaties te komen. Nogal een verschil lijkt me.

Maar goed, laten we weer even realistisch worden. Stel nu dat we het hier inderdaad hebben over de besturingssystemen, wachtwoorden en andere gegevens van de website. Met andere woorden: de website is inderdaad uit de lucht te gooien of te compromitteren. Dan moeten we ons de vraag stellen hoe ernstig dat voor het merendeel van de bedrijven nu echt is. De website van de bakker om de hoek mag er best een aantal dagen uit liggen, niemand die daar een grote zaak van maakt. Voor bedrijven die veel online verkopen realiseren wordt dat al een heel ander verhaal.

Toch moeten we oppassen met dit soort (en andere soorten) berichten over allerlei lekken en mogelijke beveiligingsincidenten. We moeten wel de koppeling blijven leggen met de ernst van de zaak. Of in andere, meer concrete woorden, hoeveel omzet lopen we mis en hoeveel imagoschade lopen we op?

In veel gevallen zullen we dan zien dat de kosten/baten-analyse helemaal scheef is. Willen we de website inderdaad beter beveiligen dan moeten we kosten maken (want de kennis hebben we zelf vaak niet in huis). Deze kosten wegen niet op tegen het uit de lucht zijn van een website voor een dag.

Hoe leuk en leerzaam dit soort onderzoeken en berichten ook zijn: gebruik je gezond boeren verstand en wees realistisch in wat je als organisatie wilt bereiken. Wellicht (en ik weet het bijna wel zeker) heb je belangrijker zaken aan je hoofd op beveiligingsgebied.

Maar goed, wil je je website toch een beetje veilig houden? Test de website eens en kijk wat de resultaten zijn. Wijzig dan niet meer al teveel aan de structuur en zorg dat patches op tijd worden doorgevoerd. Met een goed en veilig ingericht CMS kun je de content dan gewoon aan blijven passen aan de laatste stand van zaken, zonder dat je echte risico’s loopt. En geloof me, wil een echte hacker je site doelbewust platleggen dan lukt dat toch wel, probeer eerst de scriptkiddies maar eens buiten de deur te houden.