Når eg spør kundar om korleis dei haldar miljøet sitt oppdatert, så svarer dei oftast at dei har full kontroll, for dei brukar WSUS. Men har du eigentleg kontroll på oppdateringa dersom du brukar gratisverktøy så som WSUS?
Allereie 2 dagar inn i det nye året kom den første norske artikkelen om utstyr med alvorleg sårbarheit og som framleis ikkje er oppdatert. Denne gongen gjaldt det Citrix ADC. Eg har ingenting stygt å seie om Citrix, det kunne like gjerne ha vore ein annan leverandør – men det som skremmer meg er at oppdateringar ikkje har vorte installert. Akkurat denne typen teknologi står gjerne i DMZ, kanskje til og med direkte mot internett – utan nokon form for sikring i front. Om denne løysninga vert utnytta er du dønn avhengig av at andre sikringstiltak er gjort elles i infrastrukturen. Tiltak som som segmentering, tilgangsstyring, Zero Trust med meir. Er ikkje dette gjort, så har dei kriminelle ein vidopen port inn til «den heilage gral».
Ein anna artikkel som kom i det nye året handlar om ein HAUGGAMAL Exchange-server som nokon hadde gløymt, han var ikkje i bruk lengre og skulle eigentleg ha vore skrudd av for lenge sidan. Dette tok også Gøran Tømte og eg opp i ein Digi-podcast: spar pengar og auk sikkerheita.
Dette tek oss til kjernen av saka – det handlar i prinsippet ikkje om oppdateringsregime eller rutinar, det handlar om livssyklus og prioriteringar!
Livssyklus
Uansett kva du plassera i miljøet ditt, så følgjer det med ein livssyklus. Produktet er lansert (men sikkerheita har mest sannsynleg vore nedst på prioriteringslista). Så vert oppdateringar lansert rimeleg snøgt etterpå, for å fikse alt det dei «gløymde», før ny funksjonalitet vert lagt til, nye oppdateringa følgjer, før produktet går End of Life. Ofte vert det likevel ståande, som eg nemnte i ein anna artikkel, men det kan ikkje nemast for ofte.
I året som har gått vart det satt ny rekord i tal sårbarheiter (CVE) – 25.226!! Høyrast kanskje ikkje så gale ut? Men ser du nærare på talet – så utgjer det nesten 70 nye sårbarheiter KVAR EINASTE DAG! 70 nye sårbarheiter som du som jobber i IT-avdelinga skal fikse, på toppen av alt det andre. For IT-avdelinga har i dag ALT for mange oppgåver, med ALT for få tilsette. Først må du finne ut om du har det aktuelle produktet i miljøet ditt, så sjekke om det er den sårbare versjonen som er i bruk – eller kanskje ein endå eldre ein. Du må finne oppdateringar som skal rullast ut, finne ut kva maskiner som skal ha oppdateringa, gjere utrullinga, sjekke om installeringa var vellukka, og då er du KANSKJE i mål. For følgde det ikkje med ei readme fil, med nokre ekstra trinn som du må gjera FØR sårbarheita er fjerna?
Dette må du så gjere for KVAR EINASTE av dei 70 sårbarheitene – nokre meir alvorlege enn andre, mens andre kanskje ikkje gjeld for deg? Når får du gjort denne prioriteringa? Kanskje ikkje før du har gått igjennom alle 70, steg for steg. Då må du prioritera, og dei enkle oppgåvene har lett for å verte skyvd på. Heilt til dei vert gløymt.
Kva kan gjere det lettare?
Med det rette verktyget vert denne jobben gjort for deg. I Conscia samarbeider me mykje med Qualys.
Deira VMDR-løysning (Vulnerability, Management, Detection & Respons) inneheld all funksjonalitet du treng for å få oversikta. Heile løysinga er sky-basert, så du slepp å tenke på å halde ho oppdatert. På dei einskilde PCar og servera (fysiske, virtuelle eller skybaserte) installerer du ein lettvekta agent, som sender over all informasjon om endepunktet. Denne informasjonen vert så oppdatert kvar 4. time; er det installert ny programvare, er det installert patchar, har det vorte avinstallert programvare.
For alle dei einingane du ikkje kan installere agent på, som nettverksutstyr, printera, IoT og så vidare, kan du bruke ein virtuell aktiv skanner (denne må du faktisk installere). Denne skannar heile/ definerte delar av miljøet ditt og rapportere inn det han finn. Du får då oversikt over ALT som er i miljøet ditt, kva maskinvare det er, kva for einingar køyre hva for versjon av programvaren, og ikkje minst – kva sårbarheiter har du i miljøet ditt – både on-premise og i skya.
Så kjem me til rosinen i pølsa; han prioritera alle sårbarheiter slik at du kan fokusere på det som er viktigst.
Først legg Qualys til grunn all informasjon om sårbarheita: Severity (kva konsekvens er det dersom sårbarheita vert utnytta), CVSS-score (kva er sannsynlegheita for at den vert utnytta) og om sårbarheita allereie er i bruk i eit pågåande angrep/angrepskampanje og om kildekode er selt på DarkWeb, med meir. Denne informasjonen vert samanfatta til ein QDS, Qualys Detection Score, som går frå 1 til 100, der 90-100 er Kritisk.
Denne informasjonen legg så Qualys saman med risikoscore på kvar enkelt maskin. Er maskinen kritisk, køyre den EoL operativsystem, står den bak andre sikringstiltak eller er den tilgjengeleg frå internett. Til slutt står du att med dei absolutt mest kritiske sårbarheitane som du MÅ handtere snarast!!
Utan dette verktyget, vert oppgåva umenneskelig og håplaus å handtera!!
Patchevindauge
Når du no har fått oversikten og kan gå i gang med oppdateringane så vert du begrensa av vedlikehaldsvindauge. Kanskje du rekk å installere 40 oppdateringar den eine dagen i veka du har moglegheit. Kva då med dei resterande 450? Sjølv om du berre fokusera på dei kritiske og alvorlege sårbarheitene så vil det framleis vere oppdateringa du ikkje rekk å installere.
Sjølv om sårbarheitene har ein lågare QDS enn 90, betyr ikkje det at dei ikkje bør handterast. Dersom du vel å utvide Qualys-pakka til også å innehalde Patch Management vert mykje av dette gjort for deg. Einskilde oppdateringar, slik som dei for browsera, kan du automatisere 100%.
Dette gjeld også mange fleire type oppdateringar, og dermed kan du fokusere på dei oppdateringane som krev omstart av serveren, eller dei som medfører endringar både i forkant og etterkant av oppdateringa. For øvrig kan og desse aktivitetane gjerast med Qualys.
Poenget mitt med heile denne artikkelen, er å punktere ballongen. Den ballongen som heiter «me stolar 100% på WSUS» og vise at det er eit særs farleg standpunkt. Faktum er at dersom du sørger for å halde miljøet mest mogleg oppdatert til ein kvar tid, samstundes som du har ein betre oversikt over kva du har i miljøet, så redusera du sannsyna for digitale innbrot. Tek du vekk brekkstonga, hammaren og skrujarnet samt sørger for at vindauge og dører ikkje har hol – så vert det særs vanskeleg for den kriminelle å bryte seg inn.
Qualys innehar ein rekke andre funksjonalitetar, men skal eg skrive om alle vert artikkelen for lang. Eg demonstrera den gjerne for deg, og er du interessert – så kan me og sette opp ein test-installasjon for deg.