Na de beveiliging van de platformen waarvan de webapplicatie afhankelijk is, heeft het broederschap der hackers zijn aandacht verlegt naar de applicaties die op deze platformen draaien. En geef ze eens ongelijk, we besteden heel veel tijd aan het patchen van Windows. Soms kijken we ook naar Linux-/Unix-varianten en als het daarop uitkomt ook naar de Mac, maar we vergeten heel vaak de applicaties zelf te patchen.
Het resultaat is dat sinds een paar jaar er steeds meer problemen veroorzaakt worden door 'fouten' in applicaties, kijk maar naar de patches van Adobe, maar ook Joomla is een veelgebruikt en daardoor gewild slachtoffer. En of een product nu goed of slecht gemaakt is, veel of juist heel weinig fouten 'bugs' bevat, wij vinden deze producten zo handig dat we het allemaal gebruiken en wat veel gebruikt wordt is interessant etc etc.
Patchen is niet de oplossing zegt de ene partij. De andere is het daar totaal niet mee eens en iedereen verlangt een standaard foutloos product. Nu weet bijna ieder mens dat dit (voorlopig) niet lukt. Neem als voorbeeld het slot. We beveiligen en kraken het al sinds het oude Egypte, en het roepen van wij zijn wel heel veilig resulteerde in de Titanic.
Maar wat nu? Zolang er nog geen 'secure by design'-applicaties, addons en mensen zijn is een goed beveiligingsbeleid en patchplan een must. En als het er ooit van gaat komen dan hebben we hopelijk dit plan minder dan een paar honderd keer per jaar nodig.
Neem ook alle door je organisatie gebruikte applicaties in een patch- en vulnerabilitymanagement omgeving op. Controleer regelmatig de leverancier op updates/patches. Dit zal voor veel organisaties een hele klus zijn om vanaf een WSUS-patchmanagement gedachte over te gaan op een organisatie breed managementbeleid.
Nog even ter afsluiting en vermaak:
Elke bugvrij programma is een zinloos programma. Weet je nog, van vroeger?
10 PRINT "HALLO"
20 GOTO 10
Geen fout te bekennen, maar wat heb je er aan?