Software-veiligheidsupdates installeren, doen! Maar wat als dat niet blijkt te gaan?

De laatste jaren gaf Patrick Coomans, Expert Digital products & Entrepreneurship bij Agoria veel opleidingen over cyberveiligheid bij bedrijven, en faciliteerde hij hier ook verschillende Lerende Netwerken over. Deelnemers gaan steeds volmondig akkoord dat het inderdaad erg belangrijk is om rigoureus overal de nieuwste veiligheidsupdates te installeren. Zéker nadat hij een kleine hacking demo geeft. Maar, als hij hier dieper over door discussieert, merkt hij dat er toch veelvuldig voorbehoud gemaakt wordt over de praktische haalbaarheid van deze maatregel. Dat het volmonding akkoord snel verandert naar een “ja, maar…”. Daarom gaat hij in dit artikel wat verder in op het belang van veiligheidsupdates, maar ook op enkele belangrijke uitdagingen en bezwaren, en hoe daarmee om te gaan.

Software wordt steeds complexer, en bevat ook steeds meer lijnen code. Software wordt gemaakt door mensen, en die maken fouten. Sommige fouten in software kunnen hackers toegang verschaffen tot onze toestellen, onze paswoorden en onze data. Daar hebben we een mooi woord voor: kwetsbaarheden. En het jammere feit is dat bijna alle cybercriminaliteit enkel maar kan plaatsvinden omdat hackers deze kwetsbaarheden in software uitbuiten. Zonder kwetsbaarheden geen hackers, of toch bijna niet.

Telkens wanneer een nieuwe software-kwetsbaarheid ontdekt, wordt kan je dat vergelijken met het startschot van een grote uitverkoop in een winkel, en de toeloop die ermee gepaard gaat. Cybercriminelen en actoren die verbonden zijn aan sommige regimes springen bij zo’n ontdekte kwetsbaarheid uit de startblokken om zo snel als mogelijk “exploit toolkits” te ontwikkelen die ze kunnen gebruiken om deze nieuwe kwetsbaarheid uit te buiten. Typisch duurt het ontwikkelen van dergelijke toolkit enkele dagen tot weken, al merken we dat deze duurtijd alsmaar korter wordt.

Gelukkig wachten fabrikanten van software meestal met het bekendmaken van een kwetsbaarheid tot ze een oplossing bedacht hebben, en een beveiligingsupdate ter beschikking stellen. Maar soms ook niet, en dat noemen we dan “zero-day” kwetsbaarheden, m.a.w. kwetsbaarheden waarvoor nog geen veiligheidsupdate bestaat.

Voor cybersecurity onderzoekers is de "time-to-exploitation" een belangrijke indicator. Hij geeft de efficiëntie aan van cybercriminelen, door te meten hoeveel tijd er verstrijkt tussen het ogenblik waarop een software kwetsbaarheid bekend raakt, en het ogenblik dat voor het eerst vastgesteld wordt dat bedrijven effectief aangevallen worden door deze kwetsbaarheid uit te buiten.

In 2018 duurde het gemiddeld nog 352 dagen eer cybercriminelen effectief gebruik maakten van nieuwe kwetsbaarheden. Dat gaf ons dan alle tijd om veiligheidsupdates te installeren. Jaar na jaar zagen we de gemiddelde “time-to-exploitation” echter schrikwekkend afnemen:

• 203 dagen in 2019
• 126 dagen in 2020
• 51 dagen in 2021
• 9 (!!) dagen in 2022

Dit jaar zijn er trouwens al meerdere gedocumenteerde gevallen waarbij nieuwe kwetsbaarheden binnen de 24 uur misbruikt werden om in te breken. Het is bovendien maar een kwestie van tijd eer cybercriminelen ook generatieve artificiële intelligentie gaan inzetten om razendsnel exploit toolkits te maken.

Vanzelfsprekend moet de periode tussen ontdekte kwetsbaarheid en geïnstalleerde veiligheidsupdate zo kort mogelijk gehouden worden, en is iedereen zich ook terdege bewust van de urgentie. Dat zou je toch verwachten.

Helaas, de realiteit leert ons dat we véél te traag veiligheidsupdates installeren.

Uit een recent onderzoek van Statista blijkt immers dat we het helemaal niet zo goed doen, en dat het véél te lang duurt alvorens veiligheidsupdates geïnstalleerd worden:

• Bij de meeste doorsnee bedrijven en kmo's duurt het gemiddeld 102 dagen.
• Bij de “best in class” bedrijven uit kritische sectoren, banken, energie, olie en gas: gemiddeld 62 dagen.
• Bij productie- en maakbedrijven: gemiddeld 14 maanden.
• Tot slot bij healthcare, transport, sociale sector: gemiddeld 16 maanden.

Geef toe, met zulke trage update-cycli maken we het cybercriminelen wel héél erg gemakkelijk. Ze moeten immers amper moeite doen om initiële toegang te kunnen verkrijgen doordat ze gewoon maar een exploit toolkit moeten downloaden en vervolgens gericht of in het wilde weg kunnen proberen om met die toolkit bedrijven aan te vallen.

Uit forensisch onderzoek na het merendeel van succesvolle aanvallen blijkt jammer genoeg dat cybercriminelen maar al te vaak heel eenvoudig konden inbreken via kwetsbaarheden waarvoor het bedrijf al maandenlang geen beveiligingsupdates had geïnstalleerd. En de deur zo laten openstaan is wel heel jammer natuurlijk.

De meest gehoorde reden waarom updates te laat geïnstalleerd worden, is dat IT-teams andere prioriteiten hebben, waardoor het ze aan tijd ontbreekt om er continu voor te zorgen dat alle applicaties steeds up-to-date zijn. En het is inderdaad ook weinig efficiënt om steeds bij elke nieuwe veiligheidsupdate alle toestellen onmiddellijk manueel te moeten updaten.

Eén oplossing is automatisering, hiervoor bestaat software: patch management software genaamd. Maar laat automatisering u zeker geen vals gevoel van veiligheid geven: automatische updates lopen wel eens fout, en vereisen bovendien soms dat toestellen herstart worden, iets dat gebruikers wel eens durven uitstellen. Vertrouw dus de automatisering, maar controleer uitvoerig!

Een tweede oplossing is om een vast ogenblik in te lassen waarop alle veiligheidsupdates geïnstalleerd worden die een lage of gemiddelde risico-score hebben, bijvoorbeeld éénmaal per maand, en om enkel ad hoc updates uit te voeren voor zeer ernstige veiligheidsupdates. De termen die gehanteerd worden voor het inschatten van de ernst zijn CVE (Common Vulnerabilities and Exposures) en CVSS (Common Vulnerability Scoring System). Aan elke kwetsbaarheid wordt een score toebedeeld tussen 0 en 10, waarbij de classificatie als volgt is:

Een voorbeeld van een lage kwetsbaarheidsernst is wanneer de aanvaller fysiek toegang moet verkrijgen tot een toestel en dan nog slechts een weinig impactvolle wijziging kan teweegbrengen. Een voorbeeld van een hoge kwetsbaarheidsernst is wanneer de aanvaller met bijna geen kennis ter zake vanop afstand een eenvoudige aanval kan uitvoeren waarbij meteen het toestel kan overgenomen worden met administratieve rechten. Enkele van de meest beruchte kwetsbaarheden van de afgelopen jaren zijn log4j/log4shell (CVE-2021-44228), VM ESXi (CVE-2019-5544 & CVE-2020-3992) en Outlook Hasrelay (CVE-2023-23397). Voor meer informatie, kijk op cvo.org.

Maar, bedrijven moeten ook verantwoordelijkheid nemen: digitalisering vergt mensen en middelen. Een vaststelling bij veel gehackte bedrijven is dat hun IT-afdelingen veelal structureel onderbemand waren, budgetten voor cyberveiligheid ondermaats, en het topmanagement cybersecurity enkel maar als een technische aangelegenheid zag. Daarom is het belangrijk dat het topmanagement de veiligheidsrisico’s van digitalisering goed begrijpt, en dat het cyberveiligheid als een waarde ziet, als een sales enabler.

Een ander terecht bezwaar is dat sommige toestellen een kritische taak opnemen in een belangrijk proces, bijvoorbeeld in een productieomgeving, een ziekenhuis, of voor een online applicatie. Het is uiteindelijk aan de business om het risico af te wegen om toch met verouderde en kwetsbare toestellen te werken. Het grote probleem is dat de personen die hierover beslissen dikwijls de cybersecurity risico’s niet goed begrijpen, en dus risico’s aanvaarden of wegredeneren die ze onvoldoende kennen. Opleiding en awareness zijn hier de boodschap.

Als het dan toch nog steeds onmogelijk is om regelmatig updates te installeren, dan is het best om in de architectuur technische middelen te voorzien zodat met minimale operationele impact bepaalde toestellen even uit dienst kunnen genomen worden, de veiligheidsupdates geïnstalleerd, en terug in dienst genomen. Denk hierbij aan ontdubbeling, stand-by toestellen, clustering, enz.

Sommige toestellen kunnen onmogelijk zomaar geupdatet worden, bijvoorbeeld omdat ze deel uitmaken van een gecertificeerd productieproces, of omdat ze geïntegreerd zijn in een andere (veelal erg dure) machine, of omdat ze maar één of twee keer per jaar mogen afgelegd worden.

Als dit het geval is, dan is het absoluut noodzakelijk om een aantal bijkomende maatregelen te nemen om ervoor te zorgen dat deze verouderde toestellen zo goed mogelijk beveiligd worden, en dat het risico dus zo goed als mogelijk beperkt wordt:

• Fysiek in een apart computernetwerk installeren met een firewall ertussen (netwerk segregatie).
• Al het verkeer naar en van dit toestel nauwgezet controleren (netwerk detectie en response).
• Alle onnodige software en protocollen van deze toestellen verwijderen, onnodige services afzetten (hardening).
• Beveiligingssoftware installeren om anomalieën te kunnen detecteren en er onmiddellijk op te kunnen reageren (EDR / XDR software).
• Heel belangrijk: de toegang tot het internet blokkeren, webbrowsers en e-mail clients verwijderen.
• USB-poorten blokkeren, zodat niemand zomaar een USB key of 4G/5G dongle in het toestel kan inpluggen.
• Implementeer voor dit toestel DNS-filtering, zodat enkel de strikt noodzakelijke en enkel maar goedaardige DNS-aanvragen kunnen uitgevoerd worden.
• Toegekende gebruikersrechten tot het absolute strikte minimum beperken (zeker geen admin).
• Overweeg eventueel om de backup server additioneel uit te rusten met zogenaamde File Integrity Monitoring (FIM) software. Dat is software die continu in het oog houdt of kritieke bestanden, zoals configuratiebestanden, scripts, opstartgegevens, enz. niet gewijzigd worden, en die een alarm geeft wanneer dit wel het geval is.
• Stel ook een policy op die het gebruik van dergelijk verouderd en dus erg kwetsbaar toestel strikt aan banden legt: niet surfen, geen e-mail lezen, geen USB keys inpluggen, enz.
• Tip: label het toestel ook als dusdanig, bijvoorbeeld met een gekleurde zelfklever en een gekleurde patchkabel. Dit maakt het u gemakkelijker om dergelijke toestellen bij een vermoeden van cyberaanval onmiddellijk te ontkoppelen.

Mogelijk de ergste vaststelling na een cyberinbraak is dat de aanval gelukt is omdat hackers via een verouderd toestel konden binnendringen waarvan de IT-verantwoordelijke niet op de hoogte was dat dit toestel zich in het bedrijf bevond. Als IT-verantwoordelijke kan je maar datgene beveiligen waarvan je weet dat het er is. Daarom is het absoluut noodzakelijk dat bedrijven steeds goed op de hoogte zijn van welke toestellen, applicaties en gegevens er door het bedrijf gebruikt worden, zowel intern als in de cloud. Hiervoor bestaan twee technische oplossingen:

Inventarisatiesoftware (asset management) scant het interne netwerk regelmatig en inventariseert en catalogeert alle assets. Sommige software kan meteen vaststellen of er op deze toestellen software aanwezig is met kwetsbaarheden (vulnerability management).

Bepaalde softwaretools maken ook een inventaris van alles dat vanaf het internet zichtbaar is: alle applicaties, test omgevingen, PLC's die per ongeluk publiek bereikbaar zijn, websites, enz. Zoek voor meer informatie hierover naar “external attack surface management (EASM)”.

Stel ook een policy op in het bedrijf die het in gebruik nemen van toestellen of applicaties aan regels onderwerpt, en die ervoor zorgt dat er ook steevast afspraken kunnen gemaakt worden over het regelmatig installeren van veiligheidsupdates. Vergewis u er ook van dat voor alle aangekochte software en toestellen duidelijk gedocumenteerd is waar veiligheidsupdates kunnen bekomen worden, en tot welke datum.

Schrijf in voor cyberstart.be, de gratis e-tutorial voor bedrijven om via één e-mail per week een cybersecurity stappenplan op te bouwen.