Wat als patchen geen optie meer is?

By 18 mei 2020 Blog
Deel dit bericht!

De meeste aanvallen op werkplekken en servers worden uitgevoerd via lekken waar reeds een patch voor uitgekomen is. WannaCry, ransomware uit 2017, is een van de bekendste voorbeelden hiervan. Het doorvoeren van patches is dan ook nog steeds een van de beste defensieve maatregelen in cybersecurity. Maar wat als er geen beveiligingsupdates meer zijn? Elke paar jaar hebben we wereldwijd te maken met het verlopen van supportcycli van hard- en softwarefabrikanten. Microsoft Windows is wel het bekendste voorbeeld hiervan. Met Windows XP in 2014 is dit groot uitgemeten en ook het verlopen van support op Windows 7 begin dit jaar is uitgebreid onder de aandacht gebracht.

De meest voor de hand liggende optie is om de verouderde software te vervangen door een nieuwere versie die wel ondersteund wordt met patches en updates. Maar dit is makkelijker gezegd dan gedaan en dat heeft vooral te maken met beschikbare tijd en beschikbaar budget.

Drie voorbeelden waarom vervangen niet zo eenvoudig is:

Het is geen losstaande PC maar de PC is onderdeel van een technische installatie
Medische apparatuur, zoals een CT- of MRI-scanner, wordt veelal geleverd met een eigen PC en besturingssysteem. Deze zijn onlosmakelijk met elkaar verbonden en het vervangen van het één betekent ook het vervangen van het ander. De financiële en technische levensduur van de apparatuur is veelal langer dan die van de meegeleverde PC. Ook de testtrajecten voor vervanging van dergelijke apparatuur is een langdurig en arbeidsintensief proces. Vergelijkbare uitdagingen komen ook voor in de procesautomatisering, waar technische installaties soms wel 30 jaar actief blijven en waar een installatie soms uniek kan zijn voor een enkel bedrijf of bedrijfsproces.

Afhankelijkheid van software
Het komt nog vrij vaak voor dat er software in gebruik is die niet meer bijgewerkt kan worden doordat de leverancier niet meer bestaat of de medewerker die het gemaakt heeft uit dienst is. Indien deze toepassingen maar bedrijfsspecifiek genoeg zijn is het vervangen van die software erg moeilijk zonder – soms rigoureuze – aanpassingen aan werkwijzen.

Complex IT-landschap
Binnen overheden wordt zo veel als mogelijk gestandaardiseerd op een enkel besturingssysteem waarop alle applicaties actief zijn. Dit zijn voor vele gemeenten bijvoorbeeld honderden applicaties. Het vervangen van het besturingssysteem betekent het testen van al deze honderden applicaties op het nieuwe besturingssysteem. Dat leidt er vaak toe dat een aantal applicaties vervangen moeten worden. Een project van vele maanden en vele honderden manuren.

Verklein risico’s

In plaats van te kijken naar (on)mogelijkheden om de verouderde systemen te vervangen, gaan we in deze blog in op de mogelijkheden om met dergelijke situaties om te gaan. Niet om het probleem weg te nemen – vervangen is op termijn nog steeds het beste – maar om op een veilige manier de tussentijd te overbruggen. De aanpak hiervoor is het verkleinen van de risico’s door ofwel de kans ofwel de impact te verkleinen.

Netwerksegmentatie, waarbij de kwetsbare delen enkel die netwerktoegang hebben die strikt noodzakelijk is, helpt risico’s verkleinen. De kans dat een goed geïsoleerd systeem besmet wordt is kleiner. Vanwege de segmentatie is de impact op andere delen van het netwerk ook kleiner. Doordat kwetsbaarheden ook lateraal in een netwerk kunnen bewegen is enkel het afscheiden van het internet onvoldoende, ook intern is netwerksegmentatie een best practice. Voor verouderde systemen is het van belang deze segmentatie nog fijnmaziger te maken. Met Network Access Control voorkomt u dat andere apparatuur (onbedoeld) toegang krijgt tot een netwerk(segment). Ook houdt u zo zicht op welke apparatuur actief is in welk segment.

Ondanks de getroffen maatregelen, zoals een virusscanner en de voorgenoemde netwerksegmentatie, kan het mogelijk zijn dat kwetsbare systemen aangevallen of gecompromitteerd worden. In die situaties is het van belang dit zo snel mogelijk te herkennen, alleen dan kunt u ingrijpen om de impact te verkleinen. Goede threat intelligence die toegepast kan worden zonder een afhankelijkheid van het verouderde systeem is daarbij onmisbaar. De bescherming op netwerkniveau en niet op de host zelf is daarmee een logische keuze.

Tot slot is het juist aanpakken van gedetecteerde kwetsbaarheden van belang. De kans dat verouderde software aangevallen wordt is groot, door snel en geautomatiseerd in te grijpen op een gecompromitteerd apparaat voorkomt u erger. Zo verkleint u de impact verder en daarmee dus ook het effect op uw bedrijfsvoering. Daarbij is het vooral van belang dat de wijze van ingrijpen past bij de bedrijfsvoering. Welke actie kan voor welke componenten ondernomen worden om zo min mogelijk nadelig effect op de bedrijfsvoering te hebben? Dit kan variëren van isolatie op een netwerk, het alarmeren van de verantwoordelijken of via een API een proces manipuleren. Belangrijk is dat de maatregel past bij de bedrijfsvoering.

Met het toevoegen van bescherming op netwerkniveau kan het risico dat verouderde systemen met zich meebrengen verkleind worden. Zo kunt u in uw tempo werken aan het vervangen van deze systemen.