Managed hosting door True

‘Patchen moet pronto, voortaan altijd’

 

Patchen na verloop van tijd is passé, dat maakt ransomware WannaCry nu wel duidelijk. Dit is de discussie-stelling die Computable-lezers vandaag krijgen voorgelegd.

De massale uitbraak van de ransomwareworm WannaCry heeft de wereld met de neus op een pijnlijk feit gedrukt. Patchen gebeurt nog altijd niet tijdig. Want deze digitale gijzelingsplaag benut een gat waarvoor Microsoft al in maart een patch heeft uitgebracht. Natuurlijk, kostbare en oude medische apparatuur in ziekenhuizen valt niet altijd - of zelfs helemaal niet - te patchen. Dit vanwege vereisten voor support of zelfs weggevallen leveranciers van die computergestuurde apparatuur. Maar WannaCry heeft ook gewone pc’s flink geraakt, bij uiteenlopende organisaties en bedrijven.

De aangerichte schade is dan ook enorm, alleen al aan uren die ict-professionals en security-experts kwijt zijn aan reddingswerk na de ramp. Dit werk bestaat uit gegijzelde pc’s proberen te herstellen, back-ups terugzetten, firewalls en securitysoftware bijstellen, beleid aanscherpen, en nog veel meer activiteiten. Daarnaast is er nog de schade van weggevallen productiviteit doordat gewone werknemers hun werk niet konden doen. Patchen moet dus pronto, voortaan altijd. Wat vind jij?

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/6019009). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

Wanneer regeringen normaal hun verantwoording zouden nemen dan was dit niet gebeurd. De kop van de NSA-leiding zou moeten rollen.

Er gaat te weinig aandacht uit naar de e-mailserviceproviders die de besmette organisaties gebruiken. Zij laten e-mails door die later ellende veroorzaken.

Patches bestaan in een aantal vormen. Hoog over zijn er drie soorten patches.
1. Patches om bug op te lossen,
2. Patches om functionaliteit toe te voegen
3. Security patches.
Patches van het type 1 en 2 kunnen na verloop van tijd een security uitdaging worden, waardoor de prioriteit van de patch kan stijgen.
Security patches pas je het liefst zo snel mogelijk toe. De test en impact analyse die je voor de eerste twee soorten patches wel doet, zal je voor een security patch wellicht wat vereenvoudigen.
Het is de rol van de IT afdeling samen het de security officer om er voor te zorgen dat er een goed patch en release management is binnen een bedrijf. Maar ook het goed opvoeden van de medewerkers blijft belangrijk in deze.
Veel bedrijven hebben vandaag de dag managed services waar ze gebruik van maken en sluiten een SLA af voor de beschikbaarheid van de diensten. De betrokken dienstverlener zal bij potentiële vulnerabilities altijd contact opnemen met de afnemer van de diensten en in overleg de patches ASAP doorvoeren.
Bedrijven als NTT managed services maken hier zelfs een speerpunt van in de geleverde dienstverlening. Zij bouwen kennis op van de omgeving en kunnen vaak al in een zeer vroeg stadium security patches doorvoeren, zonder overleg te hebben met de afnemer.
Maar….
Met het goed opvoeden van de werknemers in het algemeen en de IT afdeling in het bijzonder kan zeer veel leed relatief eenvoudig worden voorkomen.


Snel patchen is een must voor goede weerbaarheid tegen aanvallen. Dat staat buiten kijf. Alertheid op vreemde mailtjes is eveneens een must. Dat laatste blijft vaak hangen in goede bedoelingen en een voorgenomen awareness traject (opvoeden). Maar wie beloont zijn medewerker als deze zich met een twijfelgeval naar de service desk spoedt? Een beloning (jaja gewoon in euro's) heeft zich snel terugverdiend.

"Het NCSC waarschuwde in maart en april al voor aanvallen met ransomware". Beste systeembeheer? Waar was je? In mijn optiek reden voor ontslag. Fout op fout. Gebruikers niet goed getraind/opgevoed, je gebruikt Microsoft Windows en daarin ben je ook nog eens achterstallig met het onderhoud. Een échte hack is een excuus, dit is gewoon ondoordacht en laks.

Eerder grootschalige uitbraken zo'n 10 jaar geleden hebben allang aangetoond dat "if it ain't broke don't fix" geen goed uitganspunt is, en veel organisaties hebben daar ook toen lering uit getrokken en het beleid aangepast naar "fix first, roll back when broke".

Ook in dit geval ging het weer om een kwetsbaarheden in verouderde besturingssysteem versies en verouderde netwerk protocollen (waarvan al heel lang het advies uitgegeven wordt door Microsoft die verouderde protocollen en besturingssysteemversies niet meer te gebruiken en zo snel mogelijk te upgraden naar nieuwere protocollen en besturingssysteem versies).

Organisaties die getroffen zijn, vertellen daarmee eigenlijk dat zij niet in staat zijn (geweest) mee te gaan met de ontwikkelingen in IT. In dergelijke organisaties is het IT budget vaak een sluitpost (cost center) en is de disconnect tussen business en IT maximaal (IT regelt het maar aka ontzorging :-( ).

Oude applicaties waarvan de business units eigenaar zijn dicteren welke besturingssysteem versies en protocollen er nog nodig zijn. IT heeft/krijgt in dergelijke organisaties niet de executie power om business units te dwingen oude applicaties te vernieuwen en verouderde IT uit te faseren (vooropgesteld dat IT weet wie wat gebruikt...wat vaak ook nog onbekend is...).

Om uit deze dodelijke verstrengeling te komen moet men van ontzorgen (ander woord voor over de muur gooien)....naar samenwerken. Weg met politieke spelletjes en heilige huisjes. Oude IT in een bedrijf is eigenlijk een vorm van bedrijfsmilieu vervuiling, bedrijfsmiliue rampen volgen dan vanzelf.

"Get your act together" !

De Pavlov-hondjes blaffen weer eens na het belletje van Jasper omdat ze de klok wel horen luiden maar nog steeds niet weten waar de klepel hangt. Wat ze even vergeten is dat het 'patchwork' aan opportunistische workarounds in de ICT stack gewoon een gammel bouwwerk is. Michel de Jong maakt het helemaal bont met zijn beschuldigende vingertje naar systeem(?)beheerders want meer dan 90% van de noodzakelijke patches wordt nog altijd tegengehouden door de business. Deze kiest namelijk de applicaties welke uiteindelijk weer de keus voor het onderliggende besturingssysteem bepalen.

Om dezelfde redenen kun je meestal ook niet een server 'hardenen' door zoals al jaren geadviseerd wordt het SMBv1 protocol uit te schakelen omdat er nog altijd business applicaties afhankelijk zijn van dit uit de jaren komende protocol zoals een heleboel printers die je anders niet kunt vinden in het netwerk.

Als Microsoft heb je toch wel een beetje boter je hoofd...uiteindelijk wordt het probleem veroorzaakt door softwarefouten in het besturingssysteem...

Daarnaast is de communicatiesoftware onderdeel van het probleem.

We kunnen doorgaan met symptoombestrijding en in een "wedstrijd" die niet te winnen is hopen de schade te beperken.

We kunnen ook beginnen met het werken aan een oplossing: een intrinsiek veilig besturings- en communicatie systeem. Het kan. Het zou moeten. Maar er is een geschiedenis, gemaakt door onze ICT-helden uit het verleden. Als samenleving zijn die individuele, private producten te duur om te blijven gebruiken. Ego, wie start het alternatief? Het bedrijfsleven? Het onderwijs? De overheid? Of gaan we nog even door totdat het IoT ons leert dat het anders moet. Om erger te voorkomen...

Voor de verandering eens met Ewout.

Daarnaast wil je niet alles direct patchen omdat het ook nog wel eens de business verstoord omdat systemen niet zomaar opstarten na een update en dat iedere update downtime betekent. Niet handig als je parkeergarage 24/7 open is.

Goed artikel overigens:
https://www.troyhunt.com/everything-you-need-to-know-about-the-wannacrypt-ransomware/

Dus pronto patchen is iets te kort door de bocht al is het belang dan weer wel duidelijk....

Hulde Ewout. Dat de business het patchen zelf tegenhoudt is een gegeven. Vaak omdat er iemand misschien kan overwerken in het weekend, maar nog vaker uit principe omdat men bang is dat de supportorganisatie teveel en ook in toenemende mate de downtime momenten gaat bepalen.

Heb ooit eens een ERP systeem mogen upgraden waar sinds 15 jaar geen enkele patch op was ingespeeld. Er kwamen voor miljoenen aan betalingen uit via een brakke FTP-interface naar de bank, maar patchen ... nee, vond de business niet echt nodig.

@Jan
Clapper had al lang de laan uitgestuurd moeten worden want hij heeft tegen het Amerikaanse congres glashard gelogen.

@Ewout
Helemaal met je eens. Alleen je voorbeeld is wat minder goed gekozen.

Misschien kun je het wel vergelijken met het verplicht stellen van autogordels. Dat heeft destijds ook wel een poos geduurd voordat mensen doorhadden dat dit toch wel verstandig is om jezelf te beschermen.
En daarom is de aankomende privacy wetgeving een mooie stok achter de deur om toch security patchen af te dwingen bij de business. Die luisteren wel als er een dikke boete op de loer ligt. (die ze niet op het systeembeheer kunnen afschuiven)

Als Microsoft heb je toch wel een beetje boter je hoofd...uiteindelijk wordt het probleem veroorzaakt door software fouten in het besturingssysteem...

Daarnaast is de communicatiesoftware onderdeel van het probleem.

We kunnen doorgaan met symptoombestrijding en in een "wedstrijd" die niet te winnen is hopen de schade te beperken.

We kunnen ook beginnen met het werken aan een oplossing: een intrinsiek veilig besturings- en communicatie systeem. Het kan. Het zou moeten. Maar er is een geschiedenis, gemaakt door onze ICT-helden uit het verleden. Als samenleving zijn die individuele, private producten te duur om te blijven gebruiken. Ego, wie start het alternatief? Het bedrijfsleven? Het onderwijs? De overheid? Of gaan we nog even door totdat het IoT ons leert dat het anders moet. Om erger te voorkomen...

@ dickvanelk,
Waarom schrijf je je niet in voor Utopia. Daar zou je best een dergelijke verandering van de grond kunnen krijgen. In de wereld waarin we nu leven is de business echter zeer afhankelijk van bedrijven als Microsoft, Amazon, NTT en Oracle. Zij schrijven de code met de beste intentie!
Je kan beter de uitbuiters van de fouten goed bestraffen. Als jij met ransomware een ziekenhuis plat legt is dat geen fout van Microsoft maar een bewuste aanval. Opsporen de mensen die dit doen en aanklagen voor poging tot moord.
Maar om hier Microsoft de schuld van te geven??

Zijn we afhankelijk van Amazon en Oracle? Is me nog nooit opgevallen, volgens mij zijn daar gewoon andere keuzes voor.

Barbertje moet blijkbaar hangen want ik stelde in voorgaande reactie dat vooral de business boter op zijn hoofd heeft. Dat ransomware een ziekenhuis plat legt geeft te denken over de kwetsbaarheid van een kritische infrastructuur, we hebben eerder dit soort aanvallen gehad:

https://zoek.officielebekendmakingen.nl/kst-26643-30.pdf

Over de te grote afhankelijkheid in de kritische infrastructuur heb ik hier al eens wat geschreven
want ICT-helden uit het verleden zijn veel te duur waardoor er vaak meer geld uitgegeven wordt aan marketing dan de beveiliging. Het verschil tussen erkende security bugs en een backdoor is alleen maar een kwestie van geloofwaardige onkenning.

Zolang ICT - net als onze Defensie - aangestuurd wordt door boekhouders en juristen zullen we dus verrast blijven worden door dit soort discontinuïteit. En daar kunnen we Microsoft de schuld van geven maar de afweging tussen een oplossing kopen en maken is gewoon een economisch besluit:

'If a country loses data sovereignty (in exchange for #Microsoft patches), they also lose political sovereignty and security' - Caspar Bowden

@Dick van Elk

Een intrinsiek veilig systeem is een utopie omdat bouwen en onderhouden een trade-off/balans/keuze is t.a.v. kosten, kwaliteit en eigenaarschap.

Als Microsoft heb je toch wel een beetje boter je hoofd...uiteindelijk wordt het probleem veroorzaakt door software fouten in het besturingssysteem...

Daarnaast is de communicatiesoftware onderdeel van het probleem.

We kunnen doorgaan met symptoombestrijding en in een "wedstrijd" die niet te winnen is hopen de schade te beperken.

We kunnen ook beginnen met het werken aan een oplossing: een intrinsiek veilig besturings- en communicatie systeem. Het kan. Het zou moeten. Maar er is een geschiedenis, gemaakt door onze ICT-helden uit het verleden. Als samenleving zijn die individuele, private producten te duur om te blijven gebruiken. Ego, wie start het alternatief? Het bedrijfsleven? Het onderwijs? De overheid? Of gaan we nog even door totdat het IoT ons leert dat het anders moet. Om erger te voorkomen...

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Vacatures bij Microsoft
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×