We zijn er zo langzamerhand aan gewend geraakt. De it-systemen waarvan onze bedrijven vrijwel volledig afhankelijk zijn, bevatten kleine, maar vaak belangrijke fouten. Deze fouten kunnen, als ze niet tijdig gecorrigeerd worden, misbruikt worden door hackers, virusschrijvers en andere cybercriminelen om toegang te krijgen tot onze bedrijfsgegevens of om deze te beschadigen. En dat willen we voorkomen. Het gebruikelijke advies luidt dan ook: patch uw systemen zo snel mogelijk.
We hebben hier echter te maken met bedrijfsmiddelen die zeer belangrijk zijn voor de bedrijfsoperaties. Is het dan niet beter om eerst even een stapje terug te nemen en grondig te controleren of het lapmiddel niet meer problemen oplevert dan het oplost? Is iedere beveiligingspatch wel strikt noodzakelijk? Welke systemen betreft het? En zijn er wellicht oplossingen die het hele patchproces efficiënter doen verlopen en minder tijd vergen van uw kostbare it-specialisten? Welk besluit u ook neemt: als het om patchen gaat, moet uw bedrijf op de eerste plaats komen. Misschien dat een krachtige oplossing voor configuratie- en patchmanagement precies is wat u nodig hebt.
We leven helaas in een wereld waarin niet iedereen goede bedoelingen heeft. Steeds vaker worden de bedrijfssystemen die zo belangrijk voor ons zijn het doelwit van allerlei dreigingen die ervoor kunnen zorgen dat kritische bedrijfsprocessen fouten gaan vertonen of zelfs helemaal uitvallen. Steeds meer systemen zijn dag en nacht verbonden met internet, waardoor virussen, hackers, wormen, ‘Trojaanse paarden’ en spyware een bedreiging vormen voor bedrijven over de hele wereld. Omdat tegelijkertijd een groeiend aantal bedrijfsprocessen ook afhankelijk is van het web, is het afsluiten van die verbinding geen optie. We moeten dus zorgen voor afdoende bescherming. Dat is helaas minder eenvoudig dan het lijkt.
Hoewel er intussen talloze beveiligingsoplossingen op de markt zijn, gaan we er nog steeds vanuit dat onze basisinfrastructuur zo ontworpen en gebouwd is dat er geen gapende gaten in de ingebouwde beveiligingsmechanismen zitten. Helaas zijn we in deze verwachting de afgelopen tijd herhaaldelijk teleurgesteld en dit zal ook in de toekomst blijven gebeuren. Keer op keer worden we geconfronteerd met de ontdekking van tot dan toe onbekende fouten in systemen die virussen of ‘niet geautoriseerde gebruikers’ de kans bieden om zich toegang te verschaffen.
Vraag om strategie
Helemaal onbegrijpelijk is het niet. De softwareoplossingen waar onze bedrijven op draaien zijn zeer complex geworden en daarmee is ook de kans op fouten toegenomen. De meeste softwareleveranciers nemen hun verantwoordelijkheden op dit gebied gelukkig zeer serieus en ontwikkelen zo snel mogelijk patches om ontdekte fouten te herstellen. Toch zullen er ook in de toekomst nog nieuwe kwetsbaarheden opduiken. Dit betekent dat patchen geen eenmalige actie is. Het zou dan ook een goed doordacht proces moeten vormen, gebaseerd op een duidelijke strategie. Die strategie moet een hoofddoel hebben: uw bedrijf moet blijven draaien, wat er ook gebeurt.
Wie denkt dat dit een puur technische kwestie is, vergist zich. Patchen is iets wat de hele bedrijfsorganisatie betreft en daarmee de aandacht verdient van zowel zakelijke als technische managers. Omdat informatiesystemen zo belangrijk zijn voor bedrijven, is het nodig dat zakelijke overwegingen meetellen bij ieder besluit dat deze systemen betreft. Niet alleen omdat het niet patchen van systemen een mogelijk bedrijfsrisico vormt, maar – minstens net zo belangrijk – ook omdat het ad-hoc installeren van patches ernstige gevolgen kan hebben voor de beschikbaarheid en het functioneren van bedrijfsinformatiesystemen.
De informatiesystemen van vandaag zijn sterk met elkaar geïntegreerd. Dat betekent dat er een reële kans is dat een verandering in een kleine component negatieve gevolgen kan hebben op het functioneren van tal van andere systemen. In het ergste geval kan dit zelfs leiden tot het uitvallen van complete bedrijfstoepassingen, met als gevolg omzetverlies en mogelijk zelfs het verlies van klanten. Dat is dan ook de reden dat het vaak veel tijd vergt om een nieuwe patch te ontwikkelen: het moet zeker zijn dat de voorgestelde wijzigingen geen negatieve gevolgen hebben voor andere systemen. Het probleem is echter dat het voor deze bedrijven niet simpelweg mogelijk is om alle mogelijk denkbare configuraties te testen, omdat vrijwel iedere bedrijfsinfrastructuur uniek is.
Dat is dan ook de reden dat organisaties een nieuwe patch altijd diepgaand zouden moeten testen, om er zeker van te zijn dat er geen nadelige gevolgen aan kleven. Dit wordt echter bemoeilijkt door de grote diversiteit aan configuraties en systemen binnen een organisatie: een patch die probleemloos werkt op het ene systeem, kan een ander compleet tot stilstand brengen.
‘Zero-day exploits’
Dit probleem wordt verder vergroot doordat de tijd tussen de ontdekking van een nieuwe kwetsbaarheid en het verschijnen van de eerste code die daarvan daadwerkelijk misbruikt maakt – zogenaamde ‘exploits’ -, snel afneemt. Op dit moment zit hier enkele weken tot enkele dagen tussen, maar deze tijdspanne neemt snel af. In technische termen stevenen we hard af op de eerste zogenaamde ‘zero-day exploits’, waarbij code, bijvoorbeeld een virus of een worm, die misbruik maakt van een bepaalde kwetsbaarheid direct verschijnt na het bekend worden van die kwetsbaarheid. Dit betekent dat we ook steeds minder tijd hebben om een patch te testen en door de hele organisatie toe te passen. In combinatie met de soms paniekerige meldingen in de media, kan dit ertoe leiden dat een nieuwe patch gewoon meteen wordt toegepast, zonder dat deze goed is getest, alleen maar om ervoor te zorgen dat de systemen veilig zijn. Een dergelijke reflexreactie kan echter catastrofale gevolgen hebben, mogelijk zelfs erger dan de feitelijke kwetsbaarheid die wordt gepatcht, om de eerder genoemde redenen.
We staan dus voor een dilemma. Aan de ene kant moeten we onze bedrijfssystemen zo snel mogelijk patchen, maar aan de andere kant moeten patches eerst grondig getest worden om problemen te voorkomen. De zaak wordt nog verergerd doordat het daadwerkelijk uitrollen en installeren van patches soms veel tijd kan kosten, in grote organisaties soms weken. In die tijd kan een hacker of een virus al hebben toegeslagen.
Een mogelijke oplossing is om eerst de systemen te patchen die een hoog risico lopen bij een bepaalde kwetsbaarheid, na een goede test. Het blijkt namelijk dat niet alle systemen bij een bepaalde kwetsbaarheid een even groot risico opleveren. Een kwetsbaarheid in een e-mailprogramma als Outlook levert waarschijnlijk geen risico op voor servers die dit programma niet hebben draaien. Op dezelfde manier heeft het weinig zin om een patch voor een mailservertoepassing te installeren op desktop-pc’s.
Kennis is macht
De volgende vraag die we ons moeten stellen, luidt dan ook: welke systemen lopen risico en welke niet? Hier komt de aloude wijsheid ‘kennis is macht’ om de hoek kijken. Om een goede beslissing te kunnen nemen over de kwetsbaarheid van een systeem, moeten we informatie hebben over deze systemen, zo gedetailleerd en recent mogelijk. Welke software draait erop, welke versie, welke patches zijn al geïnstalleerd, wat is de precieze hardwareconfiguratie en wat is de rol van het systeem binnen de totale informatie-infrastructuur van de organisatie?
We hebben het hier over een substantiële hoeveelheid informatie die voortdurend up-to-date moet zijn, anders hebben we er niet veel aan. Dit lijkt misschien iets dat deel uitmaakt van de dagelijkse it-activiteiten, maar het zijn factoren die niet altijd worden meegenomen. Laptops en notebooks zijn bijvoorbeeld niet altijd verbonden met het bedrijfsnetwerk, dus hoe kunnen we de benodigde informatie over deze computers bijhouden? Belangrijker is misschien de vraag hoe we ervoor kunnen zorgen dat deze systemen geen toegangspunt tot het netwerk vormen voor virussen en andere kwaadaardige software? En hoe zit het met telewerkers, die hun pc thuis gebruiken om op het netwerk in te loggen, hoe kunnen we ervoor zorgen dat ook deze systemen voldoen aan het vastgestelde beleid op dit gebied?
Om snel een goed geïnformeerde beslissing te kunnen nemen over een patch, moet al dit soort informatie op een heldere en overzichtelijke wijze gepresenteerd worden. In het ideale geval zouden we met slechts één druk op de knop een compleet overzicht van alle systemen moeten kunnen krijgen, waarbij staat aangegeven welke systemen zo snel mogelijk gepatcht dienen te worden en welke nog wel even kunnen wachten.
Effectieve oplossingen
Tot voor kort was het samenstellen van een dergelijk overzicht een complexe en tijdrovende taak. Er was bovendien een goede kans dat tegen de tijd dat het overzicht helemaal compleet was, de informatie intussen alweer was verouderd. Er zijn inmiddels gelukkig diverse oplossingen die alle mogelijke inventarisatie- en beheertaken volledig automatisch kunnen uitvoeren en waarmee it-managers op ieder gewenst moment een volledig actueel beeld van de situatie kunnen opvragen. Aan de hand van die informatie kunnen ze niet alleen zien welke systemen gepatcht moeten worden, maar hebben ze ook extra informatie die ze kunnen gebruiken bij beslissingen over het al dan niet upgraden of aanschaffen van nieuwe hardware, software of licenties.
Dezelfde configuratie- en managementoplossingen zijn uit te breiden met patchmanagementsystemen die ervoor zorgen dat het downloaden en implementeren van patches geheel automatisch verloopt. Omdat al bekend is wat de precieze configuraties zijn binnen de organisatie, kan snel worden vastgesteld welke systemen een bepaalde beveiligingspatch nodig hebben. Intelligente distributiesystemen zorgen er vervolgens voor dat de patches zo efficiënt mogelijk worden uitgerold en geïnstalleerd, met zo min mogelijk gevolgen voor de beschikbaarheid van toepassingen of gegevens.
Dit soort oplossingen biedt nog een andere belangrijke mogelijkheid: het optioneel deïnstalleren van een patch die onverhoopt toch problemen oplevert. Opnieuw komen hierbij de voordelen van een beheerde oplossing om de hoek kijken, omdat ook dit proces volledig automatisch kan worden uitgevoerd.
Oplossingen als LANDesk Management Suite met Patch Manager werken door de gehele organisatie en kunnen ook gebruikt worden binnen heterogene it-omgevingen met meerdere architecturen. Het uitrollen van patches kan automatisch plaatsvinden op het moment dat dit de minste gevolgen heeft voor de normale bedrijfsactiviteiten en dankzij geoptimaliseerde distributietechnieken wordt het netwerk niet overbelast. De benodigde investeringen zijn over het algemeen gering en, gezien de algehele verbeteringen op het gebied van beveiliging, het voorkomen van systeemuitval en de kostenreductie ten opzichte van handmatig patchbeheer, is het rendement in de meeste gevallen aanzienlijk. En dan hebben we het nog niet eens over het effect op uw nachtrust…< BR>
Daniel Power, Jim Agenant, Landesk Software
