Patchen na verloop van tijd is passé, dat maakt ransomware WannaCry nu wel duidelijk. Dit is de discussie-stelling die Computable-lezers vandaag krijgen voorgelegd.
De massale uitbraak van de ransomwareworm WannaCry heeft de wereld met de neus op een pijnlijk feit gedrukt. Patchen gebeurt nog altijd niet tijdig. Want deze digitale gijzelingsplaag benut een gat waarvoor Microsoft al in maart een patch heeft uitgebracht. Natuurlijk, kostbare en oude medische apparatuur in ziekenhuizen valt niet altijd – of zelfs helemaal niet – te patchen. Dit vanwege vereisten voor support of zelfs weggevallen leveranciers van die computergestuurde apparatuur. Maar WannaCry heeft ook gewone pc’s flink geraakt, bij uiteenlopende organisaties en bedrijven.
De aangerichte schade is dan ook enorm, alleen al aan uren die ict-professionals en security-experts kwijt zijn aan reddingswerk na de ramp. Dit werk bestaat uit gegijzelde pc’s proberen te herstellen, back-ups terugzetten, firewalls en securitysoftware bijstellen, beleid aanscherpen, en nog veel meer activiteiten. Daarnaast is er nog de schade van weggevallen productiviteit doordat gewone werknemers hun werk niet konden doen. Patchen moet dus pronto, voortaan altijd. Wat vind jij?
Wanneer regeringen normaal hun verantwoording zouden nemen dan was dit niet gebeurd. De kop van de NSA-leiding zou moeten rollen.
Er gaat te weinig aandacht uit naar de e-mailserviceproviders die de besmette organisaties gebruiken. Zij laten e-mails door die later ellende veroorzaken.
Patches bestaan in een aantal vormen. Hoog over zijn er drie soorten patches.
1. Patches om bug op te lossen,
2. Patches om functionaliteit toe te voegen
3. Security patches.
Patches van het type 1 en 2 kunnen na verloop van tijd een security uitdaging worden, waardoor de prioriteit van de patch kan stijgen.
Security patches pas je het liefst zo snel mogelijk toe. De test en impact analyse die je voor de eerste twee soorten patches wel doet, zal je voor een security patch wellicht wat vereenvoudigen.
Het is de rol van de IT afdeling samen het de security officer om er voor te zorgen dat er een goed patch en release management is binnen een bedrijf. Maar ook het goed opvoeden van de medewerkers blijft belangrijk in deze.
Veel bedrijven hebben vandaag de dag managed services waar ze gebruik van maken en sluiten een SLA af voor de beschikbaarheid van de diensten. De betrokken dienstverlener zal bij potentiële vulnerabilities altijd contact opnemen met de afnemer van de diensten en in overleg de patches ASAP doorvoeren.
Bedrijven als NTT managed services maken hier zelfs een speerpunt van in de geleverde dienstverlening. Zij bouwen kennis op van de omgeving en kunnen vaak al in een zeer vroeg stadium security patches doorvoeren, zonder overleg te hebben met de afnemer.
Maar….
Met het goed opvoeden van de werknemers in het algemeen en de IT afdeling in het bijzonder kan zeer veel leed relatief eenvoudig worden voorkomen.
Snel patchen is een must voor goede weerbaarheid tegen aanvallen. Dat staat buiten kijf. Alertheid op vreemde mailtjes is eveneens een must. Dat laatste blijft vaak hangen in goede bedoelingen en een voorgenomen awareness traject (opvoeden). Maar wie beloont zijn medewerker als deze zich met een twijfelgeval naar de service desk spoedt? Een beloning (jaja gewoon in euro’s) heeft zich snel terugverdiend.
“Het NCSC waarschuwde in maart en april al voor aanvallen met ransomware”. Beste systeembeheer? Waar was je? In mijn optiek reden voor ontslag. Fout op fout. Gebruikers niet goed getraind/opgevoed, je gebruikt Microsoft Windows en daarin ben je ook nog eens achterstallig met het onderhoud. Een échte hack is een excuus, dit is gewoon ondoordacht en laks.
Eerder grootschalige uitbraken zo’n 10 jaar geleden hebben allang aangetoond dat “if it ain’t broke don’t fix” geen goed uitganspunt is, en veel organisaties hebben daar ook toen lering uit getrokken en het beleid aangepast naar “fix first, roll back when broke”.
Ook in dit geval ging het weer om een kwetsbaarheden in verouderde besturingssysteem versies en verouderde netwerk protocollen (waarvan al heel lang het advies uitgegeven wordt door Microsoft die verouderde protocollen en besturingssysteemversies niet meer te gebruiken en zo snel mogelijk te upgraden naar nieuwere protocollen en besturingssysteem versies).
Organisaties die getroffen zijn, vertellen daarmee eigenlijk dat zij niet in staat zijn (geweest) mee te gaan met de ontwikkelingen in IT. In dergelijke organisaties is het IT budget vaak een sluitpost (cost center) en is de disconnect tussen business en IT maximaal (IT regelt het maar aka ontzorging 🙁 ).
Oude applicaties waarvan de business units eigenaar zijn dicteren welke besturingssysteem versies en protocollen er nog nodig zijn. IT heeft/krijgt in dergelijke organisaties niet de executie power om business units te dwingen oude applicaties te vernieuwen en verouderde IT uit te faseren (vooropgesteld dat IT weet wie wat gebruikt…wat vaak ook nog onbekend is…).
Om uit deze dodelijke verstrengeling te komen moet men van ontzorgen (ander woord voor over de muur gooien)….naar samenwerken. Weg met politieke spelletjes en heilige huisjes. Oude IT in een bedrijf is eigenlijk een vorm van bedrijfsmilieu vervuiling, bedrijfsmiliue rampen volgen dan vanzelf.
“Get your act together” !
De Pavlov-hondjes blaffen weer eens na het belletje van Jasper omdat ze de klok wel horen luiden maar nog steeds niet weten waar de klepel hangt. Wat ze even vergeten is dat het ‘patchwork’ aan opportunistische workarounds in de ICT stack gewoon een gammel bouwwerk is. Michel de Jong maakt het helemaal bont met zijn beschuldigende vingertje naar systeem(?)beheerders want meer dan 90% van de noodzakelijke patches wordt nog altijd tegengehouden door de business. Deze kiest namelijk de applicaties welke uiteindelijk weer de keus voor het onderliggende besturingssysteem bepalen.
Om dezelfde redenen kun je meestal ook niet een server ‘hardenen’ door zoals al jaren geadviseerd wordt het SMBv1 protocol uit te schakelen omdat er nog altijd business applicaties afhankelijk zijn van dit uit de jaren komende protocol zoals een heleboel printers die je anders niet kunt vinden in het netwerk.
Als Microsoft heb je toch wel een beetje boter je hoofd…uiteindelijk wordt het probleem veroorzaakt door softwarefouten in het besturingssysteem…
Daarnaast is de communicatiesoftware onderdeel van het probleem.
We kunnen doorgaan met symptoombestrijding en in een “wedstrijd” die niet te winnen is hopen de schade te beperken.
We kunnen ook beginnen met het werken aan een oplossing: een intrinsiek veilig besturings- en communicatie systeem. Het kan. Het zou moeten. Maar er is een geschiedenis, gemaakt door onze ICT-helden uit het verleden. Als samenleving zijn die individuele, private producten te duur om te blijven gebruiken. Ego, wie start het alternatief? Het bedrijfsleven? Het onderwijs? De overheid? Of gaan we nog even door totdat het IoT ons leert dat het anders moet. Om erger te voorkomen…
Hulde Ewout. Dat de business het patchen zelf tegenhoudt is een gegeven. Vaak omdat er iemand misschien kan overwerken in het weekend, maar nog vaker uit principe omdat men bang is dat de supportorganisatie teveel en ook in toenemende mate de downtime momenten gaat bepalen.
Heb ooit eens een ERP systeem mogen upgraden waar sinds 15 jaar geen enkele patch op was ingespeeld. Er kwamen voor miljoenen aan betalingen uit via een brakke FTP-interface naar de bank, maar patchen … nee, vond de business niet echt nodig.
Voor de verandering eens met Ewout.
Daarnaast wil je niet alles direct patchen omdat het ook nog wel eens de business verstoord omdat systemen niet zomaar opstarten na een update en dat iedere update downtime betekent. Niet handig als je parkeergarage 24/7 open is.
Goed artikel overigens:
https://www.troyhunt.com/everything-you-need-to-know-about-the-wannacrypt-ransomware/
Dus pronto patchen is iets te kort door de bocht al is het belang dan weer wel duidelijk….