Afgelopen week deed het Nationaal Cyber Security Centrum (NCSC) een herhaalde oproep om Microsoft Exchange-servers te updaten. Veel servers blijken nog kwetsbaar voor misbruik. Lokale oplossingen zijn nu eenmaal lastiger te patchen dan in de cloud. Tijd voor uniforme policies op elk platform?
Ondanks eerdere oproepen van het NCSC zijn in veel organisaties de door Microsoft beschikbaar gestelde beveiligingsupdates niet geïnstalleerd. Het risico op misbruik is groot, zeker doordat criminelen drie aanvalstechnieken hebben: ProxyShell, ProxyOracle en ProxyToken. Door ze te combineren is het mogelijk om kwetsbare Exchange-servers op afstand over te nemen.
Laat dit een wake-up call zijn voor organisaties in alle sectoren, stelt Wim van Campen, vice president EMEA bij it-beveiligingsbedrijf Lookout. Volgens hem is het de verantwoordelijkheid van de organisaties zelf om deze kwetsbaarheden te patchen. ‘En juist daarin schuilt het probleem. Als dit een cloud service was geweest, dan zouden de benodigde patches door de cloud provider geïmplementeerd worden.’
‘It- en securityteams hebben een manier nodig om uniforme policies voor databescherming toe te passen op ieder systeem en platform, zowel on-premises als in de cloud. Op dit moment zijn er nog veel verschillen in de wijze waarop deze verschillende omgevingen worden beveiligd.’ Volgens Van Campen kan dit een negatieve impact hebben op de totale beveiliging van een organisatie.
Discussieer mee!
Wat vindt u? Waarom verschillen de policies voor databescherming op de verschillende systemen en platformen, lokaal en in de cloud? Hoe kun je deze verschillen opheffen? En: los je daarmee het probleem op van de ongenode gasten op je servers?
Wat mij nu ergert is dat iedereen ineens aan die MFA mag terwijl er dus aan de andere kant dit soort gaten waar MFA dus absoluut niets helpt in MS exchange steeds blijken te zitten! Het wordt tijd dat ook die softwareleverancier op zijn verantwoordelijkheden gewezen wordt!
Het is en blijft mensen werk en daar worden soms fouten gemaakt. In de cloud is het alleen iemand anders zijn verantwoordelijkheid om dit op te lossen en daar betaal je een X bedrag per maand voor. Standaardisatie en uniformiteit is wenselijk maar mijns inziens een utopie er zijn immers veel te veel belanghebbende die allemaal hun eigen idee en opvattingen hebben.
Het valt of staat met aandacht! Of je nu de leverancier of afnemer bent je moet goed zorgen voor de spullen die je neerzet om je bedrijfsdoelstellingen te halen. Wil je daar minder omkijken naar hebben dan is cloud misschien een oplossing, doe je het liever helemaal zelf dan kost dan nu eenmaal wat meer tijd en energie.
Helemaal eens met de reactie van Maikel.
Aangezien cybercriminelen als eerst de updates gaan ‘onderzoeken’, moet het gewoon een standaard maatregel zijn om ASAP alle systemen (servers e.d.) te updaten!
Om diverse redenen denk ik dat het niet altijd helemaal haalbaar is om een uniforme policy af te dwingen voor serversystemen, omdat de samenhang met andere systemen vaak wat complexer ligt dan een update voor bijvoorbeeld de smartphone. Een herstart van een kritisch systeem kan tot een onvoorspelbare dienstverlening leiden en bedrijven op hogere kosten, doordat extra voorzieningen getroffen moeten worden.
Wat denk ik wel zou helpen en misschien een goede eerste stap, is als er stappen ondernomen zouden worden om meer transparantie te bieden over het vulnerability management en patchbeleid van organisaties. Het zou in mijn ogen niet misstaan als organisaties, behalve de privacy policy, ook een “Patch policy” verplicht zouden moeten publiceren. Het zichtbaar maken van de mate waarin dit onderwerp serieus genomen wordt door marktpartijen, helpt de klant bij de keuze voor de juiste partij als leverancier van een digitale services. Volgende stap is natuurlijk dan controle op naleving hiervan, dat wellicht gecombineerd kan worden met een ander onderwerp.
Dit onderwerp is van dermate groot belang, omdat het regelmatig patchen en scannen op vulnerabilities de achillespees is van security. Een serieus gat kan in de praktijk soms wel dagen of weken “open staan” en andere maatregelen om persoonlijke gegevens te beschermen nutteloos maken.
Niet iedereen krijgt de notificaties in de mail van het NCSC. Je moet ze zelf gaan halen. Daarnaast is de berichtgeving niet vóór iedereen duidelijk, en wat de Ernst precies is.
Veel van de exchange servers die lokaal draaien zijn ook van klein bedrijven in de zogenaamde smb servers. Vaak hebben die geen eigen beheerder, maar iemand die die server herstart en de tapes van de backup wisselt.
Voor een aantal van de patches moest je een minimale CU versie hebben en die worden niet aangeboden via Windows Update maar moeten met het handje geïnstalleerd worden.
Een uniforme policy gaat derhalve niet werken, tenzij Microsoft de updates can Exchange anders gaat aanbieden. De CU ook weer via Windows update. Een andere optie is dat er standaard de WAP/WAF geïnstalleerd wordt die via Windows updates mitigaties krijgt die dit soort aanvallen tegen te gaan.
Daarnaast kan ook het NCSC actief scannen naar alle Exchange servers en servers die kwetsbaar zijn identificeren en de eigenaars direct benaderen om dit aan te pakken. Veel weten het ook gewoon niet dat dit lek er is, en weten niet dat ze zelf deze kennis moeten halen.
Ik denk niet dat je van alle organisatie kunt verwachten dat ze zelf verantwoordelijk zijn voor het patchen van kwetsbaarheden, zoals Wim van Campen stelt. Veel organisaties maken gebruik van dienstverleners die de gebruikte IT diensten voor ze beheren. En gaan er daarbij vanuit dat dit op een gecontroleerde én veilige manier wordt gedaan. Dit is in de praktijk helaas niet altijd het geval. Bijvoorbeeld door het ontbreken van duidelijke afspraken met de dienstverlener. Of een gebrek aan transparantie met betrekking tot verantwoordelijkheden.
Daarnaast kan niet van alle organisaties verwacht worden dat ze op de hoogte zijn van de risico’s die ze lopen bij het gebruik van de IT diensten die ze gebruiken of afnemen. Als voorbeeld: vaak weten organisaties niet eens dat er gebruik wordt gemaakt van een Exchange server. Ze maken gebruik van mail. En welk systeem of dienst daar achter de schermen technisch voor zorgdraagt? Geen idee. Hoeft een organisatie eigenlijk ook niet te weten. Voor een organisatie is mail net als water uit de kraan. Je doet de kraan open en er komt water uit. En je gaat er zonder nadenken van uit dat het water veilig is om te drinken. Maar hoe dat water veilig wordt gemaakt om te drinken? Al die systemen en platformen die daarvoor gebruikt worden? Daar sta je niet bij stil. Je denkt er niet over na. Misschien als je in het buitenland bent wel. Maar in Nederland? Niet echt.
Ik denk dan ook niet dat je de verantwoordelijkheid alleen bij organisaties neer kunt leggen als het gaat om het patchen van systemen en de veiligheid ervan. Die verantwoordelijk moet eerder liggen bij de partijen die de systemen en diensten beheren waar organisaties gebruik van maken. Dat kunnen zowel interne (de IT afdeling) als externe partijen (een Managed Service Provider, IT dienstverlener of desnoods Microsoft of Google zelf) zijn.
Het klopt dat IT- en securityteams policies moeten hebben met betrekking tot de bescherming van de data die ze voor organisaties verwerken. Wim van Campen stelt: ‘Op dit moment zijn er nog veel verschillen in de wijze waarop deze verschillende omgevingen worden beveiligd’. Maar dat gaat niet zozeer over de policy, het beleid. Meer over de wijze waarop technische beveiligingsmaatregelen zijn geïmplementeerd. Die inderdaad zullen verschillen omdat de gebruikte systemen en platformen nu eenmaal niet allemaal technisch op dezelfde wijze werken. Daarvoor zijn er domweg teveel verschillende IT systemen en platformen in gebruik.
Wat wel uniform kan zijn is het beleid. En dat beleid zou je in principe vast kunnen leggen in voorschriften en regelgeving. Ter vergelijking: bouwvoorschriften. Ik noem het bouwbesluit 2012. Dit besluit bevat voorschriften met betrekking tot bouwwerken zoals de staat en het gebruik van bouwwerken. Maar ook de veiligheid tijdens bouwen en slopen. Lees ‘em eens na: https://www.rijksoverheid.nl/onderwerpen/bouwregelgeving/bouwbesluit-2012.
En lees in plaats van bouwwerken dan even IT systemen en platformen.
Als je dan toch een uniform beleid wilt vastleggen, doe het dan op basis van voorschrifen en regelgeving waar IT dienstverleners zich aan moeten conformeren. En waar interne IT afdelingen ook gebruik van kunnen maken. Een organisatie die IT diensten afneemt bij een dienstverlener (of interne organisatie) kan het dan inderdaad als water uit de kraan zien: het is veilig om te drinken.
Om even terug te komen op de discussie en een uniforme policy: in dit geval zou de policy als volgt kunnen zijn:
“Alle beheerde IT systemen en platformen dienen voorzien te zijn van de meeste recente beveiligingsupdates/ patches die door de leverancier van die betreffende systemen en platformen ter beschikking wordt gesteld.“
Los je daarmee het probleem op van ongenode gasten op je server, zoals in het artikel wordt gevraagd? Nee. Helaas, 100% veilig bestaat niet. Ook niet voor water uit de kraan. Maar veel veiliger kan wel, zeker als een duidelijk beveiligingsbeleid wordt nageleefd. En dat beleid hoeft helemaal niet ingewikkeld te zijn. Je moet beveiliging ook niet ‘erbij’ doen, maar zien als fundamenteel onderdeel van IT dienstverlening. Beveiliging als uitgangspunt.
Zero Trust architectuur. Iemand?
Interessante opmerking van Bas Steelooper over de informatieplicht want notificatie aan de gebruiker dat het systeem vanwege onderhoud even niet beschikbaar is wordt in de cloud nog weleens vergeten. En misschien moeten we aan de discussie toevoegen of er nog wel ‘downtime’ gepland wordt want veel patches worden uiteindelijk pas actief na een herstart van het systeem.
Helemaal eens met artikel en dat bedrijven meer aandacht moeten besteden aan een goed en gedegen kwetsbaarheid and patch beleid en uitvoering. Echter voor veel organisaties is het lastig om bij te houden hoe dit goed te doen aangezien het toch steeds gaat om een risico inschatting te maken voor al die kwetsbaarheden. Het gaat soms om honderden kwetsbaarheden die moeten worden ingeschat en eventueel worden gepatched. En dan ook nog daadwerkelijk het patchen uitvoeren op het juiste tijdstip en manier is geen sinicure. Een partij inschakelen die dat helpt te verzorgen is mijns inziens een goede stap in de richting alhoewel risico management nooit vollledig kan worden uitbesteed. Dit blijft een verantwoordelijkheid van de organisatie zelf!!
In tegenstelling tot Wilco Turk ben ik van mening, dat we organisaties wel degelijk verantwoordelijk moeten houden voor de beveiliging van hun IT-omgeving. Want als de afnemer geen verantwoording draagt, dan ontbreekt ook de prikkel om deze prioriteit hoog te houden bij de leverancier.
Ik zie een grote parallel met de AVG/GDRP: als organisatie moet je de juiste keuzes maken voor je leveranciers en ze goed kwalificeren, zodat je de privacy van de persoonlijke data kan borgen. Voor het patchen van de systemen zou dezelfde verantwoordelijkheid moeten gelden, want het ontbreken van belangrijke patches maakt dat het systemen behoorlijk kwetsbaar kunnen worden voor data diefstal.
Transparantie over het patch- en beveiligingsbeleid zoals ik al eerder betoog, is daarbij denk ik de sleutel voor succes. Dat stelt afnemers in staat om de juiste keuze te maken en zal uiteindelijk ook de consument ten goede komen, omdat de veiligheid van de gegevens verbeterd wordt.
Met de slotopmerking van Wilco ben ik het wel eens: dit is minder complex dan dat het noodzakelijk is.
Goed punt van Wilco Turk “Je moet beveiliging ook niet ‘erbij’ doen, maar zien als fundamenteel onderdeel van IT dienstverlening. Beveiliging als uitgangspunt.” . Ik begrijp dat het ontzetten moeilijk is om een patch beleid na te streven. Vaak is het voor dienstverleners of beheerders dan ook een uitdaging om up-to-date te zijn. Ze krijgen niet snel genoeg een change window of de impact is te groot en in het ergste geval word de patch dan overgeslagen. Organisaties hebben meestal security tools zoals IPS, Anti-Malware en endpoint security. Dit soort tools kunnen in veel gevallen kwaadaardigheden die misbruik maken van vulnerabilities tegenhouden. Hierdoor heb je de mogelijkheid het patchen van system minder adhoc uit te voeren.