SIKKERHET

Me har full kontroll på oppdateringar – me køyrer jo WSUS. Men stemmer det?

Magnar Barsnes skriv i denne kronikken at patching av sårbarheiter er ei umenneskeleg oppgåve som er håplaus å handtera utan dei rette verktøya.

Kronikkforfattaren: Magnar Barsnes er forretningsarkitekt for IT-sikkerhet hos Conscia Norge.
Kronikkforfattaren: Magnar Barsnes er forretningsarkitekt for IT-sikkerhet hos Conscia Norge. Foto: Conscia Norge
Av Magnar Barsnes i Conscia Norge
3. feb. 2023 - 14:00

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Når eg spør kundar om korleis dei held miljøet sitt oppdatert, svarer dei oftast at dei har full kontroll, for dei brukar WSUS. Men har du eigentleg kontroll på oppdateringa dersom du brukar gratisverktøy, så som WSUS?

Allereie to dagar inn i det nye året kom den første norske artikkelen om utstyr som har alvorleg sårbarheit og som framleis ikkje er oppdatert. Denne gongen gjaldt det Citrix ADC. Eg har ingenting stygt å seie om Citrix, det kunne like gjerne ha vore ein annan leverandør – men det som skremmer meg, er at oppdateringar ikkje har vorte installert. Akkurat denne typen teknologi står gjerne i DMZ (demilitarisert sone), kanskje til og med direkte mot internett – utan nokon form for sikring i front. Om denne løysinga vert utnytta, er du dønn avhengig av at andre sikringstiltak er gjort elles i infrastrukturen, så som segmentering, tilgangsstyring, Zero Trust med meir. For er ikkje dette gjort, har dei kriminelle ein vidopen port inn til «den heilage gral».

Livssyklus og prioriteringar

Ein annan artikkel som kom i det nye året, handlar om ein hauggamal Exchange-server som nokon hadde gløymt. Han var ikkje i bruk lenger og skulle eigentleg ha vore skrudd av for lenge sidan. Dette tok også Gøran Tømte og eg opp i ein Digi-podkast: Spar pengar og auk sikkerheita.

Dette tek oss til kjernen av saka – det handlar i prinsippet ikkje om oppdateringsregime eller rutinar, det handlar om livssyklus og prioriteringar!

For uansett kva du plasserar i miljøet ditt, så følgjer det med ein livssyklus. Produktet er lansert (der sikkerheita mest sannsynleg har vore nedst på prioriteringslista), oppdateringar vert lansert rimeleg snøgt etterpå for å fikse alt det dei «gløymde», ny funksjonalitet vert lagt til, nye oppdateringa følgjer – i det som følast som ei lang rekke, før produktet når End of Life – men det vert likevel ståande. Dette har eg allereie nemnt i ein annan kronikk, men det må nemnast ofte. For IT-avdelinga har i dag ALTFOR mange oppgåver, med ALTFOR få tilsette. Og då må dei prioritera, og dei enkle oppgåvene har lett for å verte skyvd på. Heilt til dei vert gløymt.

Sårbarheitsrekord

I året som har gått vart det sett ny rekord i antal sårbarheiter (CVE) – 25.226! Høyrast kanskje ikkje så gale ut? Men ser ein nærare på talet, utgjer det nesten 70 nye sårbarheiter KVAR EINASTE DAG! 70 nye sårbarheiter som IT-avdelinga skal fikse, på toppen av alt det andre. Først må du finne ut om det aktuelle produktet er i miljøet, så sjekke om det er den sårbare versjonen som er i bruk – eller kanskje ein endå eldre ein. Så må du finne oppdateringar som skal rullast ut, finne ut kva maskinar som skal ha oppdatering, rulle den ut, sjekke om installeringa var vellukka, og då er du KANSKJE i mål. For følgde det ikkje med ei readme-fil, der det står nokre ekstra trinn som du må gjera FØR sårbarheita er fjerna?

Og dette må du gjere for KVAR EINASTE av dei 70 sårbarheitene! Så er det jo nokon av desse som er meir alvorlege enn andre. Nokre av sårbarheitene er kanskje ikkje gjeldande for deg. Då du har teke andre steg: Løysinga står bak andre tiltak i miljøet, sårbarheita vil ikkje fungere då løysinga er satt opp på ein anna måte, du har ikkje utstyret osv. Når får du gjort denne prioriteringa? Kanskje ikkje før du har gått gjennom alle 70, funnet alle patchane, avdekka kva maskinar som skal ha den, avdekka kvar …

Dette er ei umenneskeleg oppgåve som er håplaus å handtera utan dei rette verktøya. Dette let seg rett og slett ikkje handtera!!

Ei ny felle

Gløym ikkje at på toppen av dette skal du ta omsyn til dei vedlikehaldsvindauga du har, så 70 oppdateringar vert ikkje installert kvar einaste dag. Kanskje du rekk å installere 40 den eine dagen i veka du har moglegheit. Kva då med dei resterande 450? Sjølv om du berre fokuserer på dei kritiske og alvorlege sårbarheitene, vil det framleis vera oppdateringar du ikkje rekk å installere.

Allereie der har du gått i ei ny felle. For kva er det som bestemmer om ei sårbarheit er kritisk, alvorleg eller middels? Stort sett lenar me oss på CVSS-score. CVSS seier noko om sannsyna for at sårbarheita vert utnytta. Kor stor konsekvensen vert, seier han fint lite om. Samstundes treng du og å vite omfanget av sårbarheita. Vert den brukt i eit pågåande angrep, er det allereie laga ein skadevare som brukar akkurat denne sårbarheita? Alt dette vil til slutt danne ei oversikt over sannsyn, konsekvens og kor stor faren er. Og du vil fort oppdage at sårbarheiter som CVSS-scorer til middels, i realiteten må handterast som kritiske.

Poenget mitt med heile denne kronikken er å punktere ballongen. Den ballongen som heiter «me stolar 100 prosent på WSUS» og vise at det er eit særs farleg standpunkt. Faktum er at dersom du sørger for å halde miljøet mest mogleg oppdatert til ein kvar tid, samstundes som du har ein betre oversikt over kva du har i miljøet, både av maskinvare og programvare, så reduserer du sannsyna for digitale innbrot.

Tek du vekk brekkstonga, hammaren og skrujarnet, samt sørger for at vindauge og dører ikkje har hol – så vert det særs vanskeleg for den kriminelle å bryte seg inn. 

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.