De Covid-19-pandemie heeft geresulteerd in een drastische verschuiving naar thuiswerken. Veel organisaties zien zich plotseling geconfronteerd met een totaal onvoorbereid beveiligingsperspectief. Wat deze bedrijven gemeen hebben, is dat ze vrijwel allemaal hun patchmanagement niet op orde hebben.
Een niet zo spannend, maar cruciaal onderdeel van elke it-organisatie is patchmanagement. Het bijhouden van softwareversies, updates, servicepacks en patches is al geen leuke bezigheid, maar wordt bovendien nog vaak gedaan met verschillende beheertools, zelfgebouwde scripts en handwerk. Nu steeds meer kantoormedewerkers vanuit huis werken, komen veel organisaties tot de conclusie dat hun huidige beheeroplossingen niet meer werken in het nieuwe normaal. Medewerkers zijn niet meer actief onder het waakzame oog van it- en beveiligingsteams, juist in een periode waarin kwaadwillige actoren actief zijn en via vogelvrije werknemers de organisatie proberen binnen te dringen. Maar hoe kun je het beheer van kwetsbaarheden vooropstellen als je huidige beheeruitdagingen al aanzienlijk zijn?
Uitdagingen op afstand
De primaire uitdaging van it-teams die op afstand werkend personeel in het gareel moeten houden, is uiteraard de fysieke afstand zelf. Zowel op het gebied van it-ondersteuning als beveiliging heb je te maken met medewerkers die op allerlei manieren en met verschillende apparaten verbinding maken met het netwerk van een organisatie. Hierdoor kunnen er al snel scheuren ontstaan in het algehele beveiligingslandschap, waardoor cybercriminelen zich toegang kunnen verschaffen tot de waardevolle gegevens van het bedrijf of de dienstverlening kunnen verstoren. De belangrijkste drie uitdagingen waar beveiligingsexperts mee worstelen als gevolg van de plotselinge verschuiving naar thuiswerken, zijn:
- Vpn’s (virtual private networks)
Veel patch-oplossingen – waaronder Windows Server Update Services (WSUS) en Microsoft System Center Configuration Manager (SCCM) – hebben beperkingen bij patchen op afstand, omdat ze moeten communiceren met de on-premise infrastructuur om centraal te kunnen updaten. it-teams zullen daarom tijd en middelen moeten besteden aan het inrichten van vpn-verkeer om updates mogelijk te maken. Maar zelfs als dit lukt, zal de vpn-bandbreedte al snel verzadigd raken door al het updateverkeer, wat tot vertragingen en verstoringen leidt voor medewerkers op afstand. Je kunt de impact op de bandbreedte verminderen door het patchproces te herconfigureren en af te dwingen dat elk systeem zijn updates rechtstreeks van Windows Update krijgt. Dit zorgt er helaas voor dat het it-team de controle en het zicht op het patchproces in hun omgeving verliest en dat kan nadelig zijn voor de veiligheid van het netwerk.
- Byod (bring your own device)
De bedrijven die niet goed ingericht waren op werken op afstand, hebben nu te maken met een extreme toename – je kunt zelfs spreken van een verschuiving – naar byod. Sommige bedrijven omarmen het al jaren en enkele hebben er zelfs een volwaardig mobile device management (mdm)-oplossing voor ingericht. Maar voor degenen die dat niet hebben, kan het een onmogelijke uitdaging zijn om dit van de ene op de andere dag in te voeren. Deze bedrijven moeten er nu mee leren omgaan dat hun bedrijfsgegevens vanaf talloze persoonlijke apparaten worden benaderd, waar zij geen enkele controle over hebben. De vraag is nu: hoe kunnen it- en beveiligingsteams er voor zorgen dat de patches op deze apparaten effectief worden beheerd, zonder het traditionele toezicht van een kantooromgeving?
- Omarm de cloud
Bedrijven met Microsoft ELA kunnen hun plannen misschien vereenvoudigen en gebruikers op afstand eerder naar een cloudgebaseerde beheeroplossing als Intune overhevelen. Met Intune is het mogelijk de mobiele apparaten en besturingssystemen te beheren die toegang hebben tot bedrijfsgegevens en -toepassingen. Dit maakt unified endpoint-management (uem) van zowel bedrijfsapparaten als byod mogelijk.
In de praktijk betekent het invoeren van Intune dat alle Microsoft-updates en -patches worden toegepast op elk apparaat dat toegang heeft tot het bedrijfsnetwerk. Maar hoe zit het met updates van software van derden, zoals die van Adobe, Google en Mozilla? Helaas is Intune vrij beperkt op dat gebied. Het zal alleen updates van Microsoft pushen, wat betekent dat de meerderheid van de software-updates van derden niet geïnstalleerd wordt. It-teams moeten daarom op zoek naar een manier om dit probleem te omzeilen. Microsoft levert weliswaar een api waarmee het mogelijk is om de mogelijkheden van Intune uit te breiden, maar die biedt slechts beperkte ondersteuning voor package-typen. Op dit moment is het alleen mogelijk om MSI-installatiepakketten te gebruiken. Ondersteuning voor andere bestandstypen bevinden zich nog in een bètafase en het advies aan leveranciers is om deze alleen te gebruiken voor testdoeleinden.
Voorbereiden op toekomstige uitdagingen
Gelukkig zijn er genoeg patchbeheeroplossingen beschikbaar die bedrijven kunnen inzetten om hun problemen op te lossen, waaronder hybride en cloud-gebaseerde oplossingen. Met een hybride oplossing kan je ervoor zorgen dat agents die buiten het netwerk staan, terug rapporteren aan hun on-premise managementconsole. Die agents maken gebruik van veilige cloud-gebaseerde diensten die ze voorzien van alle policy-updates, maar ze krijgen de benodigde updates rechtstreeks van het downloadcentrum van de leverancier.
Cruciaal is dat dit kostbare vpn-bandbreedte bespaart en het voor een consistente rapportage van deze apparaten zorgt, zodat it-professionals ze effectief kunnen blijven beheren. Sommige leveranciers helpen ook bij patchen op afstand door hun licenties uit te breiden naar byod. Dit is een goed middel waarmee bedrijven hun compliance en beveiliging op de korte termijn kunnen verbeteren.
Nieuwe normaal
Veel organisaties hebben in de huidige situatie al genoeg moeite met hun hoofd boven water houden, laat staan dat ze het zich op dit moment kunnen veroorloven om hun it-processen te herzien. Op de lange termijn moeten ze echter hybride en cloud-ondersteuning toevoegen aan al hun leverancierschecklists, van systeembeheertoolsets tot tools voor probleemoplossing en beveiliging. Zeker voor organisaties waar remote patchen nog in de kinderschoenen staat, kan deze toekomstgerichte aanpak veel voordeel opleveren, nu en in de toekomst. Er is immers nog veel onzekerheid over wanneer en of bedrijven überhaupt zullen terugkeren naar de traditionele manier van werken.
It- en beveiligingsteams moeten sturen op een uniform en geïntegreerd beheer van al hun systemen, zowel op het bedrijfsnetwerk als die gebruikersomgevingen, en van on-premise datacenters tot publieke en private clouddatacenters. Bedrijven moeten daarom, koste wat het kost, de juiste infrastructuur realiseren om in het ‘nieuwe normaal’ te kunnen functioneren, hoe dat er dan ook uit mag zien.
Gelaagde cybersecurity
Patchen is weliswaar de basis van elke beveiligingsstrategie, maar bedrijven mogen natuurlijk nooit alleen hierop vertrouwen. In deze tijd kunnen veiligheidsdreigingen vanuit talloze – en steeds weer nieuwe – hoeken komen. Om die reden was het nog nooit zo belangrijk om daarnaast ook een gelaagde cybersecurity-aanpak te hanteren. Dit betekent dat it- en beveiligingsteams er samen voor moeten zorgen dat ze een volledige toolkit van beveiligingsoplossingen in hun omgeving hebben voor zaken als vulnerability management, privilege access management, whitelisting van applicaties, reguliere back-ups en het opleiden van medewerkers.
Als ze dat doen, en daarnaast alles in het werk stellen om hun processen voor patching op afstand naadloos en tijdig blijven te laten verlopen, dan kan het implementeren van hybride en cloud-gebaseerde patchmanagementsystemen het verschil zijn tussen verdwijnen of overleven in deze ongeëvenaarde tijden.