Under OS har vi kunnat se många tillfällen där taktik har spelat en stor roll. Lägger man för mycket kraft tidigt i ett lopp, så riskerar man att kollapsa innan man når målet (katastrof), men väntar man för länge så finns en stor risk att motståndarna hinner före (katastrof det med). Här gäller det att hitta balansen och ha en tydlig taktik för loppet, men även att ha möjligheten att snabbt kunna skifta taktik beroende på vad motståndarna gör. Det här är en balansakt på hög nivå!
I dagens snabbt föränderliga cybersäkerhetslandskap står IT-avdelningarna inför samma balansakt, dagligen! Men då handlar det om ”Patch Management”, vilket är helt avgörande för att skydda verksamhetens IT-miljöer och minska riskerna för ett angrepp från ”motståndarna”.
Så vad är det för balansakt IT-avdelningar behöver lösa? Jo, å ena sidan vill man snabbt patcha kritiska system och enheter, särskilt de med extern exponering, för att förhindra att sårbarheter utnyttjas. Men å andra sidan så vill man undvika störningar i produktionen kopplade till eventuella fel som kan ha smugit sig in i säkerhetsuppdateringarna.
Nu och då
För bara några år sedan var det inte ovanligt att man rullade ut uppdateringar i ett mycket lugnt och kontrollerat tempo. Uppdateringarna skulle testas på flera olika sätt och rullas ut i faser, allt för att minska risken med ev störningar kopplat till problem med själva uppdateringen. I många fall uppdaterades kritiska system bara en gång i månaden eller en gång per kvartal, vid av verksamheten godkända ”servicefönster”.
Idag har cyberhoten ökat så pass mycket och så pass snabbt att de som fått känna på ett cyberangrepp i någon form, oftast snabbt ändrar hela sin uppdateringsprocess till att uppdatera omgående. Idag innebär det (oftast) en större risk att råka ut för ett cyberangrepp med katastrofala följder än vad risken är för att en uppdatering skall störa produktionen gör. Eller rättare sagt, kostnaden för att cyberangrepp är idag sannolikt större än vad en störning i produktionen pga en uppdatering är.
Men, inget är 100% säkert och i slutändan kan vi bara göra det vi kan för att minska riskerna för påtaglig påverkan. Så vad är det då för risker vi pratar om när det gäller uppdateringar, eller ”Patch Management” som man ofta kallar det?
Vikten av Snabba Uppdateringar
Cyberangrepp har blivit allt mer sofistikerade och kan ske bara timmar efter att en sårbarhet har blivit känd. Detta understryker vikten av att snabbt rulla ut patchar, särskilt för kritiska system. Som ett exempel, nyligen påvisade SafeBreach (1) en allvarlig sårbarhet i Windows Updates som utnyttjades genom en “downgrade attack”. Genom att snabbt åtgärda sådana sårbarheter kan organisationer minska risken för att bli måltavlor för attacker som utnyttjar dessa svagheter.
Risker med Omedelbara Uppdateringar
Trots fördelarna med snabb patchning finns det en baksida. Ibland kan en säkerhetsuppdatering leda till oönskade konsekvenser. Ett nyligt exempel är den incident som inträffade den 19 juli med CrowdStrikes (2) Falcon-plattform. En uppdatering orsakade stora störningar i produktionen för ett stort antal kunder, vilket ledde till allvarliga avbrott i verksamhetskritiska system. Sådana incidenter påminner oss om att det är avgörande att väga fördelarna med snabb patchning mot riskerna för driftstörningar.
Att Hitta Balansen
För att uppnå en stadig balans i Patch Management kan följande ”strategier” vara till hjälp:
- Riskbedömning: Innan du rullar ut en patch, särskilt för kritiska system, genomför en riskbedömning för att förstå potentiella konsekvenser.
- Snabb testuppdatering: Utför en snabb testuppdatering på ett begränsat antal enheter för att se om det finns några direkta fel, brister eller konsekvenser av patchen. Om inga större problem upptäcks, bör uppdateringen rullas ut i produktionen så snart som möjligt för att minimera risken för exploatering av sårbarheten.
- Kommunikation: Säkerställ att det finns tydlig kommunikation mellan säkerhetsteam och driftsteam. Detta möjliggör bättre samordning och minskar risken för missförstånd och misstag.
- Identifiera: Säkerställ att ni inte missar viktig information kring nya säkerhetspatchar – signa upp på rätt maillistor etc. och ha för vana att kontrollera leverantörens supportsidor men även t.ex. cert.se (3). Säkerställ även att ”rätt” person får informationen, så att information om en ny uppdateringen inte fastnar hos t ex en systemägare som har semester eller inte är den som skall utföra själva uppdateringen.
- Isolera: Ibland tvingas man leva med äldre system som inte längre uppdateras från leverantören/utvecklaren. För dessa system är det extra viktigt att isolera eller i alla fall kraftigt begränsa deras tillgång till andra system och framför allt mot internet. Detta gäller även för system som av andra anledningar inte kan uppdateras på ett önskvärt sätt.
- Fördela: Har du produktionsmiljöer med dubblerade serverfunktioner kan det vara fördelaktigt att fördela uppdateringar av dem till två grupper. Om du t.ex. har fyra AD-servrar, så uppdaterar du två av dem först och de resterande två kort därefter, när du har kunnat verifiera att de två första fungerar som de skall.
- Backup och återställning: Se till att det finns en robust backup- och återställningsplan på plats, så att om en patch orsakar problem kan systemen snabbt återställas till en fungerande version.
- Plan för incidenthantering: Ha alltid en plan för hur du hanterar en eventuell störning som orsakas av en uppdatering. Vad gör vi om det händer? Har vi kontaktvägar till leverantören? Finns det alternativa arbetssätt och rutiner vi kan använda medan störningen pågår, så att verksamheten kan fortsätta trots avbrottet? Detta är egentligen samma typ av förberedelse som krävs vid ett cyberangrepp eller andra problem som kan drabba en IT-miljö.
Slutsats
Patch management är en ständig balansakt för IT-avdelningar och verksamheten.
Genom att noggrant överväga både riskerna med snabb patchutrullning och konsekvenserna av att avvakta med utrullningen, kan du minska risken för att uppdateringar leder till oönskade avbrott samtidigt som du håller din IT-miljö säker. Det är därför mycket viktigt att säkerställa effektiva och snabba processer för testning och riskhantering, samt att verksamheten är förberedd på att hantera IT-störningar, oavsett orsak.
Patcha medvetet, snabbt och säkert för att hålla din verksamhet skyddad mot dagens och morgondagens cyberhot.
Fotnot:
- Downgrade Attacks Using Windows Updates | SafeBreach
- Falcon Content Update Remediation and Guidance Hub | CrowdStrike
- CERT-SE är Sveriges nationella CSIRT (Computer Security Incident Response Team)
Av: Jocke Bergquist, Cuebid