Udgivet den af Ole Schmitto

Tackler du sårbarhederne rigtigt?

Hvordan tackler man sårbarheder?, som medierne udråber til  “de værste i historien” …. Det sker jo oftere og oftere

Se mine 5 råd sidst i artiklen

Højt profilerede sårbarheder som Meltdown og Spectre offentliggøres ofte, som om de betyder jordens undergang. Pludselig har Danmarks Radio og TV2 indslag med interviews af IT-sikkerheds eksperter, der understøtter interviewerens søgen efter en god dramatisk historie.

Selvom sårbarhederne ikke anvendes aktivt på nuværende tidspunkt, altså det at der findes et exploit (angrebsværktøj) som udnytter sårbarhederne, vil medierne sørge for at topcheferne i virksomhederne er bekendt med situationen. Chefernes pludselige interesse betyder ofte at IT- eller sikkerhedschefen bliver bedt om at udfærdige en plan hurtigst mulig.

Daglige prioriteter ændres, herunder de normale processer for sårbarheder og patch management, og pludselig skal alle ressourcer sættes ind på at præsentere en plan for ledelsen.

Det nemmeste var vel egentlig bare, at se og få udrullet den patch der omtales NU.

Jeg vil nu argumentere for, at det kan være en dårlig plan.

Hvad er den rigtige måde?

Der bør være en generel plan for vulnerability management og patch management. En plan der gør, at aktioner baseres på realiteter, og ikke bare fordi en i topledelsen har set TV og konkluderet, at der nu optræder en kæmpe IT sikkerheds risiko.

Man bør have et velfungerende Vulnerability management og Patch management setup.  Derved får man et udgangspunkt for at tage beslutninger, baseret på ens reelle dokumenterede risiko, og ikke mediernes vurderinger.

I den forbindelse er det vigtigt, at Vulnerability management systemet kender til ALLE enheder på netværket, så man har det komplette overblik.

Hvordan bør man reagere på sårbarheder?

Det spørgsmål er der mange svar på, men lad mig komme med nogle få eksempler:

Patch nu… eller du vil “wanna cry” senere?

De fleste organisationer burde have prioriteret den sårbarhed, som WannaCry Ransomware udnyttede, og som vi ved i dag, ville komme til at koste virksomheder milliarder.

Microsoft fortalte d.14 marts 2017 om sårbarheden ms17–010, der blev kategoriseret som kritisk, og de frigav samtidig en patch.

Den næste indikation på at der var noget stort på vej, kom da hackergruppen The Shadow Brokers frigav et Exploit (angrebsprogram) EternalBlue,  som netop udnytter denne sårbarhed.

Så fra at Microsoft udsendte sårbahedsinfo og en patch, gik der 2 måneder før WannaCry angrebet kom. Selv virksomheder med en patch strategi hvor de venter 30 dage, havde altså  2 x 30 dage til at opdatere deres systemer

Hvis man havde opdateret, så havde WannaCry nok bare været et mindre Rasomware angreb, end de 300.000 enheder, som nu blev ramt.

Virtual patchingVirtual Patching

Web applikationer kan også blive sårbare. I nogle tilfælde er det fordi det værktøj/framework der er anvendt, er sårbart.

Et meget kendt værktøj er Struts, som anvendes af rigtig mange større virksomheder verden over.  Det anvendes til at udvikle Java-baserede applikationer på webserveren, f.eks. en onlineshop, web forum etc.

Struts offentliggjorde d. 7 september 2017 en sårbarhed og udgav samtidig en sikkerhedsopdatering.  Men samtidig blev der offentliggjort et exploit, der kunne udnytte sårbarheden. Hos Equifax, en amerikansk virksomhed hvor 143 millioner kundedata blev stjålet, har man sidenhen konstateret, at det blandt andet var sårbarheden Apache Struts CVE–2017–5638, der blev udnyttet.

Så denne Struts sårbarhed er jo virkelig høj risiko. Men ofte kan man ikke bare opdatere en komponent på en applikation på en webserver. Man skal gennemgå og teste hele applikationen, for at se konsekvenserne.

I dette tilfælde ville en Web Applikations Firewall som f.eks. Cloud Web Application Firewall (WAF) eller Qualys Web Application Firewall have løst problemet. Så ville man have tid til at opdatere og teste applikationen, og samtidig være beskyttet.

Meltdown og Spectre

Be201px Spectre with text svggge disse sårbarheder fik meget stor bevågenhed. Medierne gik helt i selvsving, og der blev udsendt utallige alarmer. Men så vidt jeg ved, findes der pt stadig ikke nogle exploits, der kan udnytte disse sårbarheder.

Panikken betød, at både Microsoft og Intel udsendte opdateringer, nok alt for hurtigt og uprøvede, for flere af de virksomheder der installerede dem, endte med serverproblemer.

Så vi har forhåbentlig lært af  Meltdown og Spectre, at bare fordi det er i medierne, betyder det ikke, at vi skal smide alt og bevidstløst opdatere vore enheder.  I dette tilfælde bør man vente, overvåge, og så installere patchen når man er sikker på, at den er gennemprøvet og testet.

Mine 5 råd er:

Nej, man skal ikke bare altid opdatere, men vurdere i hver enkelt tilfælde i forhold til ens IT sikkerhed og forretningsrisiko.

  1. Sørg for at have et Vulnerability management setup, der inkluderer alle dine enheder og vær opdateret, så du med sikkerhed, har overblik over hvad du har og hvad din risiko er.
  2. “Kend dine enheder”. En print server på det interne netværk har ikke samme prioritet og profil som en enhed med en offentlig IP adresse, der kan angribes udefra.
  3. Informer ledelsen om dit Vulnerability management program
  4. Udfærdig planer og processer for Vulnerability management, så det bliver en fast rutine, og ikke noget der styres af medierne.
  5. Hav overblik over din risiko.

Næste gang….

Når der næste gang omtales sårbarheder i medierne, “de værste i historien”, så ved du om du er ramt, din risiko og hvordan du skal reagere. Baseret på konkret viden.