Før hadde vi god tid. I Norman sendte vi på 90-tallet ut oppdatering av virusdefinisjoner pr. post, på diskett. Vi produserte en konstant strøm av disketter som ble sendt til brukerne først kvartalsvis, senere en gang i måneden.
Microsoft slapp Windows XP 25. oktober 2001. Oppdateringer kom som «service packs». Novell opererte på samme måte med sitt nettverks-OS, NetWare. Det gikk gjerne et par år imellom hver slik oppdateringspakke. Etter at oppdateringen ble tilgjengelig, tok bedriftenes «dataavdeling» seg god tid til å teste oppdateringen lokalt for å minimere risikoen for at den skulle påvirke driften. Rimelig trygge på dette, la de en plan for utrulling og så gjennomførte de denne i ett eller flere annonserte vedlikeholdsvinduer. Det var helt vanlig at det kunne gå måneder fra en oppdatering ble tilgjengelig til den var fullt utrullet i organisasjonen.
Automatiske oppdateringer løser flere problemer enn de forårsaker
Fra den gang til nå er den største forandringen måten vi kommuniserer digitalt på. Tidligere var det meste en lokal affære med lagring av filer og utskrift av dokumenter, kanskje litt epost innen kontoret. De mest fremoverlente kommuniserte kanskje med omverden via modem til internettaksessnoder som Bergen By Byte. Nå er «alt» på det samme nettet til enhver tid.
Altfor mange organisasjoner drifter fortsatt systemene etter den gamle vedlikeholdsvindu-tankegangen; «If it ain’t broke, don’t fix it». Konflikten er klassisk, sikkerhet og brukervennlighet er motsetninger. IT-folk skal holde nettet oppe, sikkerhetsfolk skal holde nettet sikkert.
Det er ikke uvanlig at systemer i dag har muligheten til å oppdatere seg selv automatisk. De mest konservative innen IT-drift vil gjerne selv bestemme når oppdateringer skal skje, og setter kanskje slike vederstyggeligheter til «off».
Noen ganger kan denne «vent og se»-holdningen gjøre at problemer unngås. I tilfellet Solarwinds ble skadevare installert via den automatiske oppdateringsfunksjonen i systemet. I en noe mindre synlig sak klarte en feil i en oppdatering til Microsoft Defender ATP i begynnelsen av februar 2021 å flagge et par oppdateringer til Google Chrome som skadevare. Disse og lignende episoder er selvsagt kjedelige, eller kritiske i Solarwinds tilfelle. Dette forsvarer likevel ikke å takke nei til automatiske oppdateringer. Automatiske oppdateringer løser langt flere problemer enn de forårsaker.
Når SAP kommer med sikkerhetsfikser, haster det ofte med å installere dem
Drives av økonomisk vinning
For flertallet av trusselaktørene er drivkraften rask økonomisk vinning, mens det i noen tilfeller kan dreie seg om etterretning eller industrispionasje. Vi ser spesialisering på ferdigheter der noen grupperinger skaffer tilgang til ofrenes systemer. Denne selges til noen som utnytter den for å spre skadevare de har leiet av en tredjepart som tar seg av innkreving av løsepenger. En svart økonomi på det mørke nettet. Trusselaktørene har god tid. Det er minimal risiko for å bli tatt og det er potensielt en betydelig oppside om angrepet lykkes. Det er umulig å vite nøyaktig, men det er anslått at det i 2020 ble «omsatt» for 350 millioner US dollar i denne industrien. En drøy tredobling fra 2019.
I løpet av 2020 ble 18.300 sårbarheter tildelt CVE-nummer. Det er en økning på 6 prosent fra året før. Av disse stod Microsoft for 1.248 sårbarheter, hvorav 187 ble regnet som kritiske. Microsoft er på ingen måte alene. Oracle, VMWare, Citrix, Adobe, WordPress, Google, Apple, Linux, og mange andre publiserte kritiske sårbarheter i 2020.
Vi ser at tidsrommet mellom offentliggjøringen av en sårbarhet og forsøk på å utnytte denne minker stadig. Såkalt «proof of concept»-kode publiseres fra noen dager, helt ned i timer etter offentliggjøring. og jakten på ofre starter umiddelbart. Trusselaktørene vet av erfaring at tiden det tar fra en patch er tilgjengelig til den installeres ofte er lang, om systemet i det hele tatt oppdateres.
Hva må til?
Enhver driftsorganisasjon må tilpasse seg den virkeligheten vi lever i. En del av dette er å innse at det må planlegges for at kritiske patcher som må installeres umiddelbart vil komme oftere enn noen gang. Den eneste måten å håndtere det på er å gjøre det til en del av planene.
Systemer uten oppdateringer har ingen ting i produksjon å gjøre.
Bruce Schneier uttalte i juli 2009: «Attacks always get better; they never get worse». Dette har vist seg å stemme godt. Skal vi ha en sjanse til å forsvare oss, må vi ta dette inn over oss og endre måten vi drifter systemer på. IT-sikkerhet må bli en del av hverdagen og måten vi bruker verktøyene på må tilpasses fremtidens virkelighet.
Selv om Bergen By Byte og andre oppringte tjenester som CompuServe var bra for sin tid, er det ikke slik at jeg ønsker meg tilbake dit. Jeg trives godt i en sammenkoblet verden.
Patch alt, alltid!
Ansetter en av Norges fremste sikkerhetseksperter: – Det er mulig å beskytte seg mot angrep