Heb je ook soms het gevoel dat je stilaan omsingeld wordt door updates en patches? Voortdurend zie je op je pc, op je smartphone, ja zelfs op je digitale televisie pop-up schermen die je aanmanen om zo snel mogelijk de voorgestelde update te installeren. Soms verbeteren die echt voelbaar je digitale leven, maar minstens even vaak betreft het security patches die enkel moeten voorkomen dat een ontdekt lek zou worden misbruikt door de eerste de beste hacker. Noodzakelijk, maar je wordt er niet meteen vrolijker van.
Als security manager of it-manager is het aantal patches dat je wordt aangereikt natuurlijk nog vele malen hoger. Zo hoog dat alle patches doorvoeren gewoonweg onwerkbaar wordt. Enerzijds heb je dan geen tijd meer voor andere taken en anderzijds loop je altijd het risico dat een update iets wat perfect werkte toch stuk maakt.
Een digitale infrastructuur beveiligen is sowieso een afweging van risico’s want 100 procent beveiliging bestaat niet en 99 procent is onbetaalbaar. Maar hoe bepaal je welke risico’s je bereid bent te nemen en welke je absoluut wil vermijden? Toegepast op het onhoudbaar aantal patches: alles patchen is onmogelijk, maar hoe bepaal je wat wel en wat niet?
Natuurlijk bestaan er security sites die je willen helpen bij het selecteren van de belangrijkste patches. Het zogeheten common vulnerability scoring system (kortweg cvss) bijvoorbeeld is een open industriestandaard voor het bepalen van de ernst van een vastgesteld lek. Perfect, denk je dan, laten we dit als leidraad gebruiken. Maar er is slechts één probleem mee: hier worden zo veel lekken als uiterst ‘critical’ beschouwd dat je nog geen stap vooruit bent.
Patches en hun prioriteit
Gelukkig bestaan er nog andere oplossingen, die je kwetsbaarheden scannen, in kaart brengen en dan via ingebouwde intelligentie online gaan checken welke lekken het populairst zijn bij hackers. En met online bedoelen we natuurlijk het dark web, want op basis van informatie die je kan vinden op hackersforums en andere voor de leek minder gekende informatiebronnen kan je wel degelijk weten welke kwetsbaarheden met grote waarschijnlijkheid zullen misbruikt worden. Op basis van die gecombineerde informatie heb je al een beter zicht op welke patches het dringendst nodig zijn.
Moeten we dan maar alles overlaten aan dergelijke oplossingen, en hopen dat ze de werking van onze systemen niet al te vaak verstoren, alles om de gemoedsrust te bewaren? Niet noodzakelijk. Ik raad organisaties aan om hun eigen patchritme aan te houden, aangezien dat meestal voor hun onderneming het beste compromis is tussen veiligheid en werkbaarheid. Maar als een nieuwe WannaCry zich aandient, een ernstige bedreiging die gebruik maakt van een algemeen voorkomend lek, dan is het toch wel raadzaam om even van dat ritme af te wijken.
Zelfs in dit tijdperk van security by design hoeven we niet meteen te verwachten dat het aantal lekken en patches zal afnemen. Systemen die ons helpen bij het ontdekken en inschatten van risico’s zullen dus ook steeds meer een noodzaak worden in plaats van een aangenaam extraatje. Wie zich vandaag al vertrouwd maakt met dergelijke systemen is in elk geval beter gewapend voor die toekomst.
Peter Beerten, business developer managed services bij SecureLink België