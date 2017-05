Het vingerwijzen kwam al snel nadat duizenden bedrijfscomputers werden geïnfecteerd met WannaCrypt, een week geleden: bedrijven zouden hun patches niet op tijd toepassen waardoor systemen onnodig kwetsbaar zijn voor aanvallen. Maar een patchbeleid is meer dan het ophalen en toepassen van patches van onder meer Microsoft. De complexiteit van het beveiligen van systemen en tegelijkertijd het werkend houden van diezelfde systemen vergt een uitgebalanceerd en behoedzaam beleid, zeggen experts.

De kenners zijn het er wel over eens: tussentijdse urgente patches moeten zo snel mogelijk worden toegepast en verdienen een uitzondering op het reguliere patchbeleid. De patch die de exploit van WannaCrypt had moeten voorkomen werd door Microsoft op 14 maart uitgegeven, althans voor Windows 7. Vorige week kwam daar nog een uitzonderlijke extra patch bij voor Windows XP, dat door Microsoft al 3 jaar geleden bij het vuilnis is gezet en normaliter geen patches meer krijgt.

Niettemin sloeg WannaCrypt toe op vooral Windows 7-machines, die dus al twee maanden lang gepatcht hadden kunnen worden. Bedrijven als Renault, FedEx, NHS, Telefonica en Deutsche Bahn, en in Nederland de garages van QPark en scholierenorganisatie LAKS, werden grotendeels lam gelegd. Experts waarschuwen voor nog meer aanvallen van slimmere varianten van de ransomware.

To patch or not to patch...

Het incident en de publiciteit erom heen bracht chaos in IT-afdelingen over de hele wereld. Ondanks de paniek en de huidige drukte op de werkvloer is het niettemin goed om even stil te staan bij het huidige patchbeleid van organisaties, en wat de redenen zijn om wel of niet (onmiddellijk) te patchen.

Mike Viscuso, CTO bij beveiligingsfirma Carbon Black en voormalig analist bij de NSA, zegt dat IT-afdelingen in de regel maandelijks of per kwartaal een patchronde hebben waarin tientallen als niet honderden applicaties die intern zijn ontwikkeld, zijn betrokken. Voordat de patches worden uitgerold doen IT-afdelingen eerst een regressietest om zich ervan te verzekeren dat hun op maat gemaakte software nog steeds kunnen werken met de nieuwe code.

Troy Hunt, een regionale directeur van Microsoft die eerder bij farmaceutisch bedrijf Pfizer werkte en daar meerdere upgrades aan besturingssystemen en browsers heeft uitgevoerd, zegt dat een van de meest pijnlijke en kostbaarste onderdelen van het patchen de zorg is voor de compatibiliteit met bestaande software.

"De laatste die ik me herinner was een simpele upgrade van Internet Explorer en de kosten van het herstellen van niet-functionele webapps in de organisatie beliepen een getal met zes nullen", schrijft Hunt in zijn blog."Organisaties moeten proactief zijn in het monitoren naar patches en het testen en uitrollen ervan. Het is niet leuk, het kost geld en het kan nog steeds onderlinge afhankelijkheden afbreken, maar de alternatieven bieden een zwart plaatje, zoals we vorige week hebben kunnen zien."

Het niet testen van patches op compatibiliteitsproblemen is risicovol, zegt Viscuso. Als een financieel bedrijf bijvoorbeeld een belangrijke high-speed handelsapplicatie ziet uitvallen vanwege een upgrade dan moet dat gerepareerd worden, maar in de tussentijd kan de downtime het bedrijf tientallen miljoenen euro's kosten.

Even wachten...

Maar het niet toepassen van patches levert eveneens risico's op.

Als een leverancier een patch vrijgeeft buiten zijn gewone patchcyclus, zoals Microsoft deed toen het MS17-010 uitgaf op 14 maart, dan verstoort dat de cadans die bedrijven hebben opgebouwd in hun IT- en businessprocessen. Visuco zegt dat veel bedrijven wachten met het uitrollen ervan totdat hun eigen volgende patchcyclus aan de orde is. Dat is de reden waarom zo veel bedrijven geraakt werden door WannaCrypt: ze waren nog niet toe aan hun patchcycle.

Het patchen van de kwetsbaarheid waarvan WannaCrypt gebruik maakte was niettemin een no-brainer ondanks de uitdagingen die het gaf, omdat het van afstand kon worden uitgebuit, zegt Steve Grobman, CTO van securityleverancier McAfee. De dreiging ontstond al vanaf het moment dat een machine verbinding maakte met een netwerk.

Maar omdat deze patch direct invloed had op de Server Message Block (SMB), een onderdeel van het besturingssysteem dat zorgt voor het delen van bestanden, was de kans op het stuk maken van applicaties eveneens hoog. Het risico was vooral groot voor organisaties met een groot aantal legacy-applicaties, waarvan sommige zelfs meer dan 20 jaar oud konden zijn en wiens ontwikkelaars wellicht niet eens meer leven, zegt Grobman. Daarom kozen veel bedrijven om simpelweg niet te patchen.

"Ze hebben al jarenlang de deur open laten staan en er is nooit een probleem geweest", zegt Grobman. "Als je risicovol gedrag vertoont alleen maar omdat er nog niets ergs is gebeurd, geeft dat weinig garanties voor de toekomst."

Grobman verwacht dat CIO's en hun afdelingen hun IT-processen bijstellen en een meer agressieve benadering kiezen in het patchen. Dat is belangrijk nu hackerscollectief Shadow Brokers zegt dat het meer gestolen exploits van de NSA openbaar willen maken.

Maar met ruwweg 5000 nieuwe kwetsbaarheden per jaar zal het onmogelijk zijn voor CIO's om elk gat te patchen, zegt Viscuso. Hij zegt dat CIO's moeten kijken naar degene die de grootste bedreiging vormen voor hun bedrijfsvoering, die te testen en upgrades moeten plannen.