Beheer
Patchen blijft een uitdaging. Maar waarom?
Luxeprobleem onder criminelen laat ons vaak wegkomen met securitygaten.
Luxeprobleem onder criminelen laat ons vaak wegkomen met securitygaten.
Het gat in Pulse Secure, de kwetsbaarheid in Citrix, lekken in Microsoft Exchange; cybercriminelen gebruiken voor hun aanvallen regelmatig kwetsbaarheden waarvoor al enige tijd een patch is. Patches die dus lang niet overal geïnstalleerd worden. Waarom is dat eigenlijk?
Pulse Secure waarschuwde afgelopen lente voor cybercriminelen die oude lekken in haar software misbruikte. Het gaat om twee kwetsbaarheden uit 2020 en één uit 2019, waar ook allang patches voor beschikbaar zijn. En ook het NCSC liet in september een dringende oproep uitgaan: installeer de patches die al in mei verschenen voor Microsoft Exchange, want cybercriminelen proberen actief misbruik te maken van deze gaten.
Maar als er al maanden of zelfs al jaren patches beschikbaar zijn, hoe kan het dan dat er bedrijven zijn die ze nog altijd niet geïnstalleerd hebben? Met de enorme hoeveelheid nieuws over succesvolle cyberaanvallen die niet alleen via zerodays, maar óók via al lang bekende en al van patches voorziene gaten plaatsvinden, lijkt de urgentie rondom goed patchen inmiddels wel duidelijk. Dus waarom installeren we die patches niet en houden we onszelf kwetsbaar?
Het zijn er véél te veel
Dit vraagstuk heeft niet één antwoord, maar vele. Te beginnen met de enorme hoeveelheid patches die tegenwoordig verschijnen. “Er worden per jaar zo’n 25.000 security advisories gepubliceerd. Zeker bij grote organisaties krijg je dus per dag met tientallen of zelfs honderden patches te maken. Dat kan een IT-organisatie niet aan”, stelt cybersecurity-professor Michel van Eeten van de Technische Universiteit Delft. Hij doet momenteel samen met collega’s van de Vrije Universiteit Amsterdam onderzoek naar patching.
Dave Maasland, directeur van cybersecuritybedrijf ESET Nederland, en Petra Oldengarm, directeur van brancheorganisatie Cyberveilig Nederland, beamen dit. Maasland: “De frequentie van de patches gaat enorm omhoog. Zelfs voor kleine bedrijven is er al veel wat gedaan moet worden. En als er echt een gapend gat is, dan wordt daar heel snel misbruik van gemaakt. Bij het Exchange-gat gebeurde dat al binnen 48 uur. Tegelijkertijd is het moeilijker om IT-talent aan te trekken. Dus je hebt minder mensen, meer patches en minder tijd om te patchen."
Niet alle informatie komt binnen
Bovendien krijgen bedrijven lang niet alle informatie over alle patches binnen, weet Van Eeten. Hij deed samen met het Nationaal Cyber Security Center (NCSC) onderzoek naar patching bij overheden en de kritieke infrastructuur. Daar werden beheerders gevraagd naar welke informatie over kwetsbaarheden zij binnenhalen, naast wat ze van het NCSC krijgen. “Lang verhaal kort: niemand haalt ook maar in de buurt van de complete set informatie binnen. Er zijn organisaties die volledig leunen op wat het NCSC doet, wat zo’n duizend advisories per jaar zijn. Dat is dus maar een klein deel van die 25.000 advisories per jaar.”
Het NCSC probeert namelijk vooral de meest kritieke informatie uit te filteren en die door te spelen naar aangesloten organisaties. Voor de rest is het aan de organisaties zelf om up-to-date te blijven. En een aantal organisaties haalt ook wel informatie uit andere bronnen binnen, zoals via dienstverleners die vulnerability scans doen. “Dan gaat het om een paar duizend kwetsbaarheden die je in je eigen infrastructuur moet vinden. Maar dan kom je nog steeds niet in de buurt van die 25.000.”
Zelfs als bedrijven álle beschikbare informatie binnen zouden krijgen, dan nog staan ze voor enorme uitdagingen. Want welke kwetsbaarheden zijn voor jou belangrijk? Wat heb je eigenlijk in je infrastructuur zitten? Wat is up-to-date en wat niet? En wat kan écht niet stilvallen? “Niet iedereen heeft zijn asset management goed op orde”, zegt Oldengarm.
Dingen gaan kapot
Als in kaart is gebracht wat er allemaal aanwezig is en wat dan gepatcht moet worden, dan nog kan het ontzettend lang duren voor een patch daadwerkelijk geïnstalleerd is. Het kan namelijk voorkomen dat patches meer doen dan alleen een gat dichten, waardoor bepaalde dingen kapot gaan. Er wordt dus gecontroleerd wat een patch precies doet en of alle systemen nog werken als ze geïnstalleerd zijn. “Je wil niet hebben dat de boel de volgende dag vastloopt en je alle patches terug moet draaien.”
Bovendien zijn er bedrijven met systemen die écht niet stil kunnen vallen, zoals productiebedrijven. “Zij kunnen het zich niet veroorloven dat systemen uitvallen. Dus zij hebben een zorgvuldige planning nodig. En als je een groot netwerk met veel systemen en veel van dit soort kritieke elementen hebt, dan neemt de complexiteit van het patchingproces toe. Je moet dan echt gaan nadenken over hoe je dat doet en dat gaat een IT-beheerder vaak de pet te boven. Zo blijven patches lang liggen.”
Prioriteiten stellen
Als oplossing voor dit probleem, stellen bedrijven prioriteiten. Welke patch moet écht geïnstalleerd worden en wat kan wel even wachten? Maasland: “De schade van niet patchen is denk ik altijd groter dan de schade door uitval. Maar als je dan toch moet prioriteren, kijk dan naar het zakelijk risico. Wat zijn de belangrijkste processen en de belangrijkste systemen? Als ze cruciaal zijn, patch ze dan. En mkb’ers: outsource dit naar je managed service provider en maak daar glasharde afspraken over.”
Maar wat heeft dan prioriteit? En hoe bepaal je dat? Volgens Van Eeten wordt veel gekeken naar CVSS-scores, waarmee wordt aangegeven wat de ernst van een kwetsbaarheid is. Maar CVSS zegt zelf dat de scores daar niet voor geschikt zijn. “Iedereen doet dat toch, want het is het enige wat we hebben.”
Probleem is echter dat zelfs dan lang niet alles gepatcht kan worden. “De groep die als kritiek gelabeld wordt, is heel groot”, legt Van Eeten uit. “Dat heeft twee redenen. Degene die het probleem ontdekt, wil dat het als heel ernstig aangemerkt wordt. Want dan wordt het heel groot en heb jij dus belangrijk werk gedaan. En de eigenaar van het product waar de kwetsbaarheid in is gevonden wil die ernst ook zo hoog mogelijk, want dan kun je geen verwijten krijgen dat je niet hebt gewaarschuwd. Beide spelers hebben dus redenen om die scores op te schroeven. Zo krijg je een enorme vloed van kritieke kwetsbaarheden, waar je echt niet allemaal patches voor kunt installeren. Dus ga je plakbandjes plakken.”
Plakbandjes plakken kan oké zijn
Nu is het niet zo dat het plakken van plakbandjes per se een probleem is. Patches moeten immers steeds sneller geïnstalleerd worden, omdat cybercriminelen er ook sneller misbruik van maken. “Als je niet kunt patchen, zet er dan in ieder geval een omgeving omheen zodat de toegang beperkt wordt, bijvoorbeeld met netwerksegmentatie. Dan kies je binnen ieder segment wie daar wel en niet binnen mogen komen en kun je de toegang tot het internet beperken”, zegt Oldengarm.
“Je moet het probleem dus vanuit een bredere security-architectuuraanpak bekijken. Wat is in mijn context haalbaar? En ben ik bereid om anders risico’s te nemen? Maar als dat antwoord ja is, dan moet je natuurlijk niet piepen als je systeem plat ligt en je een paar dagen uit de lucht bent.”
Probleem: we komen ermee weg
Er zijn dus tal van redenen waarom er bij veel bedrijven niet goed gepatcht wordt. Maar misschien wel de meest problematische is dat bedrijven er vaak simpelweg mee weg komen. “We hebben een structureel patroon dat we kwetsbaarheden niet patchen, dus waarom vallen bedrijven niet allemaal om?”, vraagt Van Eeten zich af.
Er zijn diverse factoren die daaraan bij kunnen dragen. “Een deel is mitigatie, dus de plakbandjes die we plakken. En 95% van de kwetsbaarheden wordt zelfs nooit aangevallen. Als we kijken naar welke kwetsbaarheden actief misbruikt worden, dan gaat het maar om een paar procent. Het is dus een soort loterij, maar dan wel één waarbij de kans heel groot is dat je niet aangevallen wordt.”
Van Eeten heeft daar een mogelijke verklaring voor, al is dat wel speculatie, zo benadrukt hij. “Het kan zijn dat er meer kwetsbare systemen zijn dan criminelen nodig hebben. Dus dat zij een bottleneck hebben. Je moet namelijk nog veel werk doen nadat je binnen bent. Kijk naar ransomware: je gaat echt niet de eerste de beste server die je tegenkomt versleutelen. Dus hangen criminelen rond in het netwerk en zoeken ze naar de grote prijs en misschien zelfs de back-up. Waar doet het echt pijn als ze aanvallen?” Overigens kunnen cybercriminelen wel geautomatiseerd aanvallen, maar dat werkt alleen bij bepaalde soorten kwetsbaarheden. Bovendien zit daar volgens Van Eeten vaak minder geld in.
“Mijn beeld is nu dat de meeste organisaties mondjesmaat patchen en dat ze daarmee wegkomen omdat de hoeveelheid kwetsbare systemen die actief worden aangevallen kleiner is dan mensen denken.”
Toekomst: patchen als een iPhone
De vraag is natuurlijk hoe lang die balans zo blijft. Als er meer cybercriminelen komen, worden ongetwijfeld ook meer systemen aangevallen. Toch is er ook goede hoop voor de toekomst: er wordt hard gewerkt aan manieren om patchen beter te laten verlopen.
“Ik denk dat we een duidelijke stip op de horizon hebben: de iPhone op het nachtkasje”, zegt Maasland. “Ik zie hem af en toe uit zichzelf updaten en niks gaat stuk. Daar zijn we nog niet voor enterprises, maar we willen wel naar die mate van kwaliteitscontrole en eenvoud.”
Dat dit nu nog niet kan, heeft vooral te maken met dat enterprisesystemen veel complexer zijn dan smartphones. Toch wordt wel gewerkt aan ontwikkelingen die een stap in die richting kunnen bewerkstelligen, bijvoorbeeld in het onderzoek van Van Eeten en zijn collega van de Vrije Universiteit (VU) Herbert Bos. “We zoeken in een paar richtingen. Eén daarvan is heel technisch: VU-collega’s proberen patches te maken die gegarandeerd je systemen niet ontregelen. Want daardoor kost het nu veel tijd. Patches veranderen vaak meer dan alleen hetgeen waarmee de kwetsbaarheid gedicht wordt. Het idee is om een stuk software waarvan je formeel kunt verifiëren dat het alleen doet wat jij zegt toe te voegen. Dat je zeker weet dat het verder niks aanraakt. Als je dat kunt maken, dan kan een bedrijf een patch zonder te testen en te verifiëren geautomatiseerd uitrollen. Dan ben je veel efficiënter. Dat zou een fundamentele doorbraak zijn.”
Van Eeten werkt met zijn eigen team aan een benchmark rondom patching. “Wie patcht sneller dan andere organisaties en wat doen zij anders? Dat zou namelijk inzichten kunnen geven.”
Security centraal zetten
Dit zijn echter vooral toekomstwensen. Maar ook nu al zijn er stappen die bedrijven kunnen zeten, weet Oldengarm. “Je kunt slimmer nadenken over patching. Als een systeem offline moet voor praktisch onderhoud, kun je ook direct je patches doen en testen of het systeem nog werkt. Dat komt best vaak voor en dan heb je maar één keer per maand downtime én alle patches geïnstalleerd.”
“En verder draait het erom dat je security meer centraal gaat zetten in je infrastructuur. Dus denk bij een nieuw stuk infrastructuur direct na over de risico’s en hoe je gaat updaten. Gebruik dat soort dingen als criterium voor de selectie van je producten en diensten.”
Redacteur bij AG Connect. Schrijft onder meer over de IT-arbeidsmarkt, IT-onderwijs, software-ontwikkeling en zakelijke software.
e.meijer@agconnect.nl