Patchbeheer onvoldoende prioriteit voor Nederlandse bedrijven

Michael_Maas_ServiceNow

Michael Maas, VP EMEA North, ServiceNow

Elk jaar worden cyberaanvallen complexer en lastiger te verslaan en Nederlandse bedrijven besteden elk jaar meer budget aan het voorkomen, detecteren en herstellen van deze aanvallen. Toch blijken deze security-uitgaven niet voldoende om aanvallers buiten de deur te houden; 68% van de datalekken bij Nederlandse bedrijven was het directe gevolg van een kwetsbaarheid waarvoor een patch beschikbaar was die nog niet was uitgevoerd.

In 2019 was het cybersecuritylandschap weer een tikkeltje wreder voor bedrijven. Nederlandse organisaties hadden te kampen met een toename van 14,8% van het aantal cybersecurityaanvallen ten opzichte van 2018. Daarnaast waren deze aanvallen ook nog eens 28% zwaarder dan het jaar ervoor. Dit blijkt uit het onderzoek dat het Ponemon Institute in opdracht van ServiceNow heeft uitgevoerd.

Effectief patchbeheer

Deze toename van cyberdreigingen leidt tot een toename in security-uitgaven van organisaties, maar heeft niet kunnen voorkomen dat Nederlandse bedrijven het installeren van patches gemiddeld met 11,7 dagen uitstellen. Toch zien de meeste organisaties wel de noodzaak voor effectief patchbeheer. In Nederland werd in 2019 bijvoorbeeld gemiddeld 1,4 miljoen dollar besteed aan medewerkers die zich puur bezighielden met het patchen. De kosten voor patching zijn ten opzichte van 2018 met 35% gegroeid.

Ondanks het aannemen van extra personeel duurt het bij de meest bedrijfskritische kwetsbaarheden gemiddeld zelfs 17 dagen voordat de ‘window of exposure’ wordt aangepakt. Dat betekent dat deze organisaties die hele periode slecht beveiligd zijn tegen datalekken, met alle (financiële) gevolgen van dien. Daarbij gaat deze uitkomst over het aantal dagen nadat de zwakke plek is opgemerkt, dus de werkelijke periode van kwetsbaarheid is nog langer.

Gebrek aan inzicht en timing

Het onderzoek wijst echter ook op andere factoren dan personeel die voor vertragingen in het aanpakken van kwetsbaarheden zorgen. Zo speelt een gebrek aan eenduidig inzicht in applicaties en assets bij security- en IT-teams ook een belangrijke rol. Op verschillende afdelingen wordt gewerkt met uiteenlopende oplossingen en systemen, met silovorming als gevolg en een gebrek aan overzicht bij de IT-afdeling. Wanneer IT-verantwoordelijken niet precies weten welke oplossingen binnen het netwerk opereren, is het onbegonnen werk om ervoor te zorgen dat deze oplossingen allemaal tijdig up-to-date en gepatcht zijn.

Ook het feit dat bedrijfskritische applicaties en systemen niet offline gehaald kunnen worden om snel te patchen en security-experts het moeilijk vinden om kwetsbaarheden te prioriteren, zorgen voor de nodige vertraging in het patchingproces. Ook problemen met de afstemming tussen securityprofessionals en verschillende afdelingen dragen bij aan de vertraging. Dat effectief en efficiënt patchbeheer noodzakelijk is, blijkt ook het feit dat Nederlandse bedrijven in 2019 geconfronteerd werden met gemiddeld 10,7% meer downtime dan in 2018 door vertraging bij het patchen van kwetsbaarheden.

Automatisering

Om adequaat te kunnen reageren op kwetsbaarheden en om de patchtijd drastisch te verminderen, is de inzet van automatisering een goede optie. 81% van de Nederlandse organisaties die automatisering inzetten om kwetsbaarheden te identificeren en tegen te gaan, zegt veel sneller te kunnen reageren op kwetsbaarheden binnen het bedrijfsnetwerk. Automatisering detecteert waar de kwetsbaarheden zijn en of er patches zijn uitgebracht die deze verhelpen. Daarnaast is automatisering van dit proces uiteindelijk goedkoper dan het aannemen van extra personeel voor handmatige patching. Tezamen met een eenduidig beeld van alle assets, applicaties en systemen binnen het netwerk, kan dankzij automatisering de patchtijd voor bedrijfskritische componenten drastisch worden verminderd.