Qualys - Automatiseren van proactief patchen maakt de handen vrij voor reactief patchen

qualys-zero-touch-800500

Het verhelpen van kwetsbaarheden in IT-systemen en applicaties is een complexe taak. Leveranciers brengen weliswaar patches uit om deze te verhelpen, maar deze wijzen cybercriminelen ook op het probleem. Zij weten hier meestal al misbruik van te maken voordat systeembeheerders de updates kunnen uitvoeren. Hoewel er geen toverformule is voor efficiënt patch management, ligt de oplossing in een combinatie van een proactieve en reactieve aanpak, zegt Chantal ’t Gilde, managing director Benelux & Nordics van Qualys. De juiste balans is echter voor elke organisatie uniek.

Proactief patchen

Cybercriminelen ontdekken elke dag nieuwe kwetsbaarheden in systemen en applicaties die zij kunnen misbruiken om in te breken, ransomware te installeren of gegevens te stelen. “In de praktijk blijkt dat veel aanvallen vooral succesvol zijn dankzij kwetsbaarheden die leveranciers al lang gepatched hebben”, zegt ’t Gilde.

Leveranciers brengen met regelmaat patches uit om lekken te dichten, zoals de maandelijkse Patch Tuesday van Microsoft. In juli bracht Microsoft maar liefst 117 patches uit. Hiervan waren er 13 kritiek, 103 belangrijk en één matig. “Die updates zijn omvangrijk en dan gaat het alleen nog maar om Microsoft, maar alle leveranciers brengen maandelijks grote aantallen patches uit.”

Het controleren of deze patches van toepassing zijn op de systemen en applicaties in een organisatie kost veel tijd en mankracht. Aan beide ontbreekt het vaak en daarom adviseert ’t Gilde om de patches proactief uit te rollen. “Dat verhelpt veel nieuwe kwetsbaarheden nog voordat beveiligingsteams deze inzichtelijk maken.”

Een aanpak van ‘gewoon even installeren’ is echter niet altijd verstandig. ’t Gilde: “Je kunt niet elke patch zonder meer uitrollen. Vooral als het om bedrijfskritieke systemen gaat, mag een patch de werking daarvan niet verstoren. IT-teams willen de patches grondig testen voordat men ze implementeert. Dat brengt echter risico’s met zich mee want cybercriminelen maken vaak al op grote schaal misbruik van de kwetsbaarheden waarop een nieuwe patch van toepassing is.”

Reactief patchen

Volgens ’t Gilde richten de meeste oplossingen voor patch management die momenteel beschikbaar zijn zich uitsluitend op proactief patchen. “Deze oplossingen controleren of een nieuwe patch geïmplementeerd is en zo niet, dan voeren zij dit uit. Dat is echter niet genoeg. Een oplossing voor systeemherstel moet ook reactief patchen eenvoudig mogelijk maken.”

De proactieve aanpak repareert namelijk niet alle kwetsbaarheden, stelt ‘t Gilde. “Het moet ook mogelijk zijn om kwetsbaarheden te herstellen die ontdekt worden in de bestaande omgeving, bijvoorbeeld door scans en continue monitoring. Dit reactief patchen is iets anders dan het scannen op ontbrekende patches. Zelfs de beste patchprocessen zullen bovendien niet alle patchbare kwetsbaarheden volledig repareren. Sommige bedrijfsmiddelen worden al dan net per ongeluk overgeslagen en daardoor niet gepatched. Soms zit de kwetsbaarheid in een product waarvan het IT-team niet besloten heeft om het niet te patchen. Of het IT-team was zich niet bewust van het risico van een bepaalde kwetsbaarheid en besloot men daarom om de patch niet uit te voeren.”

Het is daarom cruciaal om ontdekte kwetsbaarheden te vertalen in de vereiste patches om deze te herstellen. Meestal is het echter zo dat het team dat verantwoordelijk is voor het scannen op kwetsbaarheden (Vulnerability Management, VM) niet hetzelfde team is dat de patches uitvoert (Patch Management, PM). “Voor een efficiënt patchproces dienen de oplossingen voor het beheren van kwetsbaarheden en voor het beheren van patches onderling gegevens uit kunnen wisselen”, zegt ’t Gilde. “De eenvoud van het gebruik van één platform voor zowel het ontdekken als het herstellen van kwetsbaarheden levert een aanzienlijke tijdswinst op. Zo kunnen er in een kortere tijd meer patches worden uitgevoerd.”

Qualys levert een geïntegreerd platform dat deze taken combineert. “Qualys PM en Qualys VM gebruiken dezelfde Cloud Agent”, vertelt ’t Gilde. “Deze herkent alle bedrijfsmiddelen afzonderlijk en deelt hun gegevens tussen de verschillende modules. Dat is allemaal inzichtelijk voor gebruikers.”

Slim patchen door automatisering

Het automatiseren van het proactieve patchproces bespaart tijd en moeite. Elke organisatie moet echter voor zichzelf beslissen welke patchcycli zich het beste lenen voor automatisering, benadrukt ’t Gilde: “Qualys PM beschikt over functies om het juiste automatiseringsproces te ontwerpen voor elke situatie. Zo kan het ingezet worden om het volledige proces van Patch Tuesday automatisch uit te voeren. Men heeft ook de keuze om alle nieuwe patches uit te voeren, of alleen een selectie hiervan, bijvoorbeeld alleen de OS-patches en/of patches voor applicaties van derden, op basis van bepaalde criteria.”

Een andere manier om automatisering in te zetten is volgens ’t Gilde door het ‘laaghangende fruit’ automatisch te patchen. “In veel organisaties zijn updates voor browsers zoals Chrome en Firefox eenvoudig uit te voeren en deze veroorzaken ook zelden problemen. Dat maakt deze patches heel geschikt voor automatisering en daardoor kunnen patch-teams hun waardevolle tijd besteden aan het handmatig patchen van kritieke systemen waarvoor patches een risico kunnen vormen.”

Het operationele risico van patchen

In sommige omgevingen is het nog een hele opgave om te beslissen welke producten men wel of niet wil patchen en welke daarvan geautomatiseerd kunnen of moeten worden, weet ‘t Gilde. “Het beveiligingsteam vindt vanzelfsprekend dat elke applicatie gepatched moet worden. Het IT-team begrijpt echter dat het patchen van alle beschikbare applicaties een hoog operationeel risico met zich mee kan brengen. IT-teams zijn verantwoordelijk voor de beschikbaarheid van bedrijfsapplicaties ongeacht het patchproces. Hoe meer applicaties zij patchen, hoe meer dingen er mis kunnen gaan. Het oplossen van dit “conflict”, dat wil zeggen besluiten welke producten gepatched moet worden en welke daarvan geautomatiseerd kunnen worden, is een moeilijk probleem.”

Qualys lost dit probleem op door inzichtelijke onderbouwing te leveren voor de besluitvorming van zowel de beveiligings- als IT-teams. “We delen informatie over ontdekte kwetsbaarheden en verbinden deze aan de producten die bij de klant in gebruik zijn. Zo kunnen organisaties vaststellen welke producten als eerste de aandacht verdienen in het proactieve patchproces voor het geval dat het IT-team niet alle producten kan patchen.”

Hoe werkt dit in de praktijk? ’t Gilde: “Stel dat we de volgende producten vinden in de omgeving van een klant: Chrome, Firefox, Adobe Reader, Plex Server en VideoLAN. Vanuit beveiliging gezien is het aanbevolen om al die producten maandelijks te patchen. Als dat echter niet mogelijk is, helpt Qualys PM om die vijf producten te prioriteren op basis van welke daarvan de afgelopen periode de meeste kwetsbaarheden veroorzaakten in de omgeving van die specifieke klant. Zo waarborgen we dat de patch-teams hun aandacht kunnen geven aan het patchen van de juiste producten in de omgeving.”

Qualys kan zodoende aanbevelen welke producten regelmatig gepatched moeten worden op basis van ervaringsgegevens. “Dat combineren we met de mogelijkheid om het patchproces te automatiseren”, zegt ‘t Gilde. “Zo vereenvoudigt Qualys PM het patchbeheer en helpt het bij het sneller en efficiënter herstellen van kwetsbaarheden.”

Meer over
Lees ook
Proofpoint gaat dataverlies via email tegen met kracht van AI op basis van gedrag

Proofpoint gaat dataverlies via email tegen met kracht van AI op basis van gedrag

Proofpoint Inc., kondigt de algemene beschikbaarheid aan van Adaptive E-mail Data Loss Prevention (DLP), voor het automatisch detecteren en voorkomen van onbedoeld en opzettelijk dataverlies via email – voordat het een kostbare fout wordt voor organisaties.

Terugblik met Remco Geerts van Tesorion

Terugblik met Remco Geerts van Tesorion

InfosecurityMagazine bestaat tien jaar. Wat is er in die tijd veranderd? Die vraag is voorgelegd aan Remco Geerts. Remco is bij Tesorion verantwoordelijk voor strategie en innovatie. Hij zit ruim 25 jaar in de sector. Hierdoor is hij niet alleen de juiste persoon voor die functie, maar ook voor dit interview.

Visiepaper Tesorion AI in Cybersecurity

Visiepaper Tesorion AI in Cybersecurity

In de paper Artificial Intelligence in Cybersecurity lees je meer over onderwerpen als FraudGPT, ShadowAI, geavanceerde GenAI Phishing en het gebruik van deepfakes in social engineering tactieken.