Development

Dit is een bijdrage van SentinelOne
Security
Het gevaar van End of Life-software

Het gevaar van End of Life-software

Slecht onderhouden software kan een organisatie blootstellen aan ernstige security-risico's

12 mei 2021
Door: SentinelOne, partner

Slecht onderhouden software kan een organisatie blootstellen aan ernstige security-risico's

‘End of Life’ betekent simpelweg dat de software niet langer wordt ondersteund door een producent. Hele ondernemingen worden aan risico’s blootgesteld, omdat vrijwel elke organisatie software gebruikt die over de ‘houdbaarheidsdatum’ heen is. Waarom slaan zoveel bedrijven de waarschuwingen in de wind? In dit blog lees je wat de gevaren daarvan zijn. 

De meest uiteenlopende software wordt door ondernemingen gebruikt, denk aan legacy software, commerciële software, open-source software en een mix van on-premises en cloud-implementaties. Ze hebben allen gemeen dat ze onderhouden moeten worden en regelmatig geüpdatet moeten worden. Wanneer dit niet gebeurt, kan het operationele problemen, zoals storingen veroorzaken. Maar veel belangrijker is dat slecht onderhouden software de organisatie kan blootstellen aan ernstige security-risico's.

Waar gaat het mis met oudere software? 
Er zijn talrijke problemen bij het gebruik van oudere softwareproducten. Om te beginnen werden veel van deze programma’s uitgebracht toen de testmethodes nog anders waren en voordat zogenaamde bug bounty-programma's populair werden. De rigoureuze tests, en dan met name de geautomatiseerde belastingstests en fuzzing die moderne kwetsbaarheidstesters (en aanvallers!) gebruiken, hebben ze waarschijnlijk niet ondergaan. 

Bij testen met hedendaagse tools, zouden ze ongetwijfeld nieuwe kwetsbaarheden ontdekken in deze oude software, die de leverancier destijds over het hoofd heeft gezien. De makers nemen bovendien zelden de moeite om nog security updates uit te brengen voor uitgefaseerde producten. Waarom zouden ze ook? Ze willen natuurlijk dat je hun nieuwste product koopt! ‘End of life’ en ‘unsupported’ – is een helder concept, toch? Dus zelfs als er nieuwe kwetsbaarheden worden gevonden, dan is de kans dat de oude software de juiste patches krijgt nul.

Operationele problemen kunnen ook veroorzaakt worden door oudere software. Zoals een gebrek aan compatibiliteit met nieuwere software, producten of protocollen. Ook  kan het leiden tot hogere onderhoudskosten wanneer de software bijvoorbeeld afhankelijk is van specifieke hardware, het besturingssysteem of andere software. Tevens zijn oudere producten mogelijk niet compatibel met de huidige compliance-eisen of polisvoorwaarden van verzekeraars.

No pain, no gain 
Is er een reden waarom zoveel bedrijven met verouderde software blijven werken? Daar is geen eenduidig antwoord op. Dit heeft vaak met meerdere factoren te maken, zoals budgetbesparing en onwetendheid.  Wanneer de organisatie geen operationele problemen ziet (of zich daarvan niet bewust is), is er waarschijnlijk weinig motivatie om te ‘repareren wat niet kapot is’. Geen pijn betekent geen verandering. 

Toch blijkt uit allerlei onderzoeken dat veel van de gebruikte programma's wereldwijd verouderd is en dat veel gebruikte besturingssystemen verouderd zijn. Blijkbaar is het verleidelijk om gebruik te blijven maken van dezelfde, vertrouwde technologie. Een andere factor: het vervangen van iets dat ‘nog steeds werkt’ wordt vaak (onterecht) gezien als een onnodige uitgave. 

Voeg één of meer van deze factoren samen en je hebt hét recept voor verhoogde ondernemingsrisico's. Dan is het niet de vraag of het fout gaat maar wanneer.

En wat nu?
Veel organisaties zijn in het verleden onverantwoord omgegaan met het vervangen van de verouderde software, daarom is het onwaarschijnlijk dat zij het in de toekomst veel beter zullen gaan doen. Het is voor mij dan ook heel simpel: voor elke organisatie die oude software niet tijdig vervangt, is een aanval of andere schade een reële mogelijkheid. Organisaties zullen daarom moeten inzien dat dit een belangrijk security-risico is en ze moeten het daarom ook zo benaderen. Behalve bewustzijn vraagt het beperken van dit risico ook goede voorbereiding én, wanneer dit nodig is, ook de nodige reactie.

Een inventarisatie van het totale IT-landschap met de daarop geïnstalleerde software is de eerste stap. Vervolgens wil je weten wat er is verouderd en wat aan het einde van z’n levensduur zit. Dan zal er ook moeten worden beslist of en hoe ze moeten worden vervangen. 

Wat kun je doen?
Er zijn diverse tools zoals SentinelOne Ranger om de bestaande IT-assets en bijbehorende softwareversies snel en zorgvuldig in kaart te brengen. Het is raadzaam voor klanten om zich te houden aan alle updates en patches, met name als het gaat om security-software. Ook een next-generation beveiligingsplatform is een vereiste om de organisatie goed te beveiligen tegen aanvallers. 

Reactie toevoegen