Belangrijkste tips bij patch management

01-04-2015

Patches zijn erg belangrijk voor de beveiliging van systemen. Ondanks het belang hiervan, blijken patches toch te lang te blijven liggen voordat deze daadwerkelijk kunnen worden toegepast. Hoe kunt u uw patch management verbeteren? Gebruik deze tips die door Computable experts zijn samengesteld.

Patch management is natuurlijk cruciaal, meent Raoul Vernede, security manager bij Wageningen UR, en daar is volgens hem iedereen het over eens. Maar er zijn ook zeker een aantal problemen mee. ‘Bovendien is patch management niet een op zichzelf staand proces, legt Ad Koolen, Government Crypto Specialist bij Compumatica secure networks, uit. ‘Patch management is verknoopt met onder andere change management. Binnen change management dient al vastgesteld te zijn wat de impact en mogelijke risico's zijn van een bepaalde patch of update. Deze input moet uit het proces ‘test management’ komen. De risico's die door de kwetsbaarheid worden veroorzaakt, dienen te worden vergeleken met de risico's van het installeren van de patch komen als output uit ‘risk management’.  Al met al zijn dit processen die binnen een organisaties niet snel even doorlopen kunnen worden. Zelfs met een escalatie krijgen ze dit niet echt snel voor elkaar.’

Zorg voor een goede testomgeving

Volgens Koolen is de belangrijkste tip bij patch management dat organisaties patches of updates nooit automatisch moeten laten doorvoeren. Deze moeten eerst uitvoerig worden getest en daarom vindt Willem Kossen, ICT Architect bij BKWI, dat iedere organisatie over een testomgeving zou moeten beschikken waarop patches direct kunnen worden uitgeprobeerd. ‘Deze testomgeving moet voldoende op productie lijken zodat er ook daadwerkelijk een voorspellende werking uitgaat van die test. Daarop wordt de gepatchte omgeving getest op de volledige functionaliteit.’

Hierbij is het bovendien verstandig om allereerst de kritieke computers in het netwerk te identificeren, meent Martijn van Lom, General Manager Kaspersky Lab Benelux & Nordic. ‘Zodra nieuwe patches beschikbaar zijn kan de organisatie er voor kiezen om de patches voor de kritieke computers eerst uitvoerig te testen en daarna pas uit te rollen. Voor alle andere computers kunnen de patches direct uitgerold worden. De kritieke computers moeten vervolgens wel goed gemonitord worden, waarschuwt Van Lom. ‘Zij lopen immers een grotere kans om geïnfecteerd te worden omdat ze nog niet gepatcht zijn.’

Koolen beseft zich dat het vooral de grotere organisaties zijn die al een testomgeving hebben. Koolen is dan ook geneigd te zeggen dat kleinere organisaties beter nog even kunnen wachten met het installeren van patches. ‘Hierbij moet ‘even’ dan wel in tijd worden uitgedrukt binnen de organisatie. De kleinere organisaties zullen namelijk niet meteen als eerste doelwit worden ge-pinpoint. Ze kunnen dan eerst de reacties uit de markt afwachten met betrekking tot de patch.’

Ontdek kwetsbaarheden tijdig

Maar ook voordat er patches worden uitgebracht, is het al belangrijk om op tijd op de hoogte te zijn van kwetsbaarheden. Daarom raadt Peter Westerveld, directeur en security consultant bij Sincerus consultancy, aan Security Information and Event Monitoring (SIEM) te introduceren binnen de organisatie. ‘Dit kan er voor zorgen dat vroegtijdig security breaches worden opgemerkt en of patches wel of niet geïnstalleerd zijn. Ook is het mogelijk om de ongeoorloofde changes op te sporen.’ Westerveld legt uit dat wanneer een patch, die maar niet wordt geïmplementeerd, voor security incidenten zorgt, het dan in ieder geval mogelijk is om hier direct actie op te ondernemen. ‘Zonder die security monitoring blijft een dergelijk voorval vaak tijdenlang onopgemerkt en kan het voor grote schade zorgen.’ Daarnaast raadt Erik Remmelzwaal, algemeen directeur bij DearBytes, aan om gebruik te maken van een vulnerability scanning tool, zoals McAfee Vulnerability Management, om in kaart te brengen welke systemen en welke applicaties kwetsbaar zijn en om prioriteiten te stellen op basis van je eigen risico analyse.

Pas ‘virtual patching’ toe

Hierbij aansluitend moeten organisaties volgens Roy Samson, Principal Consultant bij Capgemini, serieus overwegen om een host-based intrusion protection system (IPS) te implementeren. Remmelzwaal legt uit dat je IPS in het netwerk of op een computer kan activeren. ‘In het netwerk is naast de internet gateway ook de verbinding van werkstations naar data center een tactische plek om IPS toe te passen. En op laptops voor wanneer zij buiten de deur zijn. IPS stelt je in staat om het change proces goed en volgens afspraak te doorlopen maar ondertussen toch beschermd te zijn tegen misbruik.’ Samson vult aan dat dit door sommige leveranciers ook wel ‘virtual patching’ wordt genoemd, omdat IPS updates vaak eenduidig te relateren zijn aan kwetsbaarheden.’

Albert Kramer, Technical Manager Continental Europe bij Trend Micro, legt uit dat virtual patching een geavanceerde techniek is waarbij de vulnerability direct wordt afgeschermd van de buitenwereld of in het eigen netwerk, zodat het niet kan worden misbruikt door hackers. ‘Hierdoor zijn organisaties direct beschermd tegen de kwetsbaarheid en zijn zij in staat op hun eigen manier en in eigen tempo een fysieke patch uit te voeren. In de tussentijd hoeft de organisatie zich dus geen zorgen te maken, omdat de vulnerability geen invloed heeft op de bedrijfsvoering en ze dus beschermd zijn totdat de patch is uitgevoerd. Virtual patching of vulnerability shielding vormt als het ware een schild om server of desktop.’ De voordelen van deze virtual patches zijn volgens Samson dat deze veelal eerder beschikbaar zijn dan de equivalente fysieke patches, ze zijn eenvoudiger te installeren en ze zijn te installeren met een geringere impact op de bedrijfsprocessen dan fysieke patches.

Zorg dat patch management op beleidsniveau is opgenomen

Tot slot is het volgens Westerveld belangrijk dat patch management aandacht krijgt op beleidsniveau. ‘Enerzijds moet vanuit het security beleid richting worden gegeven aan een proces wat stelselmatig toetst of security patches worden opgevolgd en zo niet wat daar dan de reden voor is. Anderzijds moet het IT en governance beleid er voor zorgen dat er resources voor beschikbaar zijn om structureel patch management uit te voeren.’

Overige tips

Naast deze belangrijke tips, is er nog veel ander advies dat de experts u kunnen geven. Deze onderstaande tips zijn gegeven door Eddy Willems, Global Security Evangelist bij G DATA; Gerard Stroeve, Manager Security & Continuity Services bij Centric; Roy Samson, Principal Consultant bij Capgemini; en Vincent van Kooten, Regional Manager BeNeLux bij FireEye.

  • Installeer geen overbodige software op alle toestellen
  • Gebruik pakketjes waarbij de patches al zijn nagekeken
  • Voor Microsoft patches: test met een testopstelling die twee soorten machines omvat: enerzijds de globale pc’s, anderzijds een testgroep van speciale machines inclusief speciale servers.
  • Het is over het algemeen zinvol om een patchbeleid te voeren waarin alle stappen staan beschreven die ervoor zorgen dat alle machines de updates en patches krijgen van alle aanwezige software, op het moment dat de patches beschikbaar zijn.
  • Stel vast wat binnen scope valt. Dus alle servers of een deel. Alle werkstations of alleen laptops, etc.
  • Hanteer best practices van leveranciers
  • Inventariseer systemen en applicaties (configuratie management), stel classificaties vast van systemen en applicaties conform (kritische) bedrijfsprocessen en stel een planning op en voer dit periodiek, oftewel op vaste dagen, uit.
  • Probeer niet alles te patchen, maar begin bij de meest voor de hand liggende onderdelen, zoals het besturingssysteem.
  • Probeer gebruik te maken van tooling en automatiseer de uitrol. Voer de patches enkel handmatig uit bij kleine en overzichtelijke omgevingen.
  • Probeer gebruik te maken van fasering. Test patches bijvoorbeeld een week voordat je deze verder uitrolt.
  • Zorg dat er wordt nagedacht over rollback. Wat als een patch problemen oplevert, kan je dan terug?
  • Maak in je patch management proces onderscheid tussen functionele patches en security patches.
  • Definieer niet alleen vaste patch cycli  in dit het patch management proces, maar ook een procesgang om met spoed security patches om te gaan.
  • Maak het beoordelen van kritische security patches onderdeel van een integraal threat management proces.
  • Indien er te weinig personeel is om patch management uit te voeren, laat het dan niet zitten, maar besteed het uit.
  • Implementeer oplossingen die kunnen beschermen tegen zero day aanvallen.
  • Begin met goede asset management en classificatie. Dit maakt de risico inschatting en prioriteiten mogelijk.

Met deze tips zult u patch management beter moeten kunnen uitvoeren, maar binnen welke tijd moet een patch volgens de experts in ieder geval worden geïnstalleerd? En waar gaat het vaak fout bij organisaties op dit gebied? Dit leest u in het artikel ‘Patch-management is kwestie van prioriteren’.


Birgit Bunt

Relevante artikelen:
Patch Management
My Marqit

Registreer je gratis voor de volgende voordelen:

  • Kosteloos toegang tot alle informatie
  • Onbeperkt downloaden van whitepapers
  • Altijd up-to-date via de Marqit nieuwsbrieven
E-mailadres
Wachtwoord
Wachtwoord [vergeten?]