Patch Tuesday: Effectief omgaan met noodpatches

Abonneer je gratis op Techzine!

Als je elke maand de security only-updates van Microsoft installeert, zorg er dan voor dat je ook   de security only-out-of-band-updates voor je besturingssystemen meeneemt. Die bevatten namelijk de PrintNightmare-fix, die niet is opgenomen in de Patch Tuesday-set van augustus. Ook zijn beveiligingsupdates voor Windows 7 en Server 2008/2008 R2 vrijgegeven, maar alleen als je die als service afneemt.

De release van zero-day updates, zeker zo’n belangrijke als de PrintNightmare-fix, is een uitstekende gelegenheid om je beleid en procedures voor noodpatching te valideren. Was je vorige maand nog in de stress, dan is het hoog tijd om je voor te bereiden op het volgende probleem, want die komt er zeker aan.

Risico’s en coördinatie

Om te beginnen moet je een bedrijfsbeleid hebben dat samen met de security- en juridische teams afgestemd en goedgekeurd moet worden. Belangrijke factoren hierbij zijn onder andere de tijdlijn waarbinnen de fixes in het hele netwerk moeten worden geïnstalleerd, een op risico’s gebaseerde aanpak om de meest kritieke systemen te beschermen en de vereiste coördinatie van activiteiten.

Security-teams zijn vaak geneigd om updates direct uit te rollen, maar dat kan vaak een verwoestende impact hebben op de organisatie als de patches toch niet presteren zoals verwacht. Daarom is er een betrouwbaar en gevalideerd proces of procedure nodig. Een best practice bij veel bedrijven is dat zij noodpatching behandelen als een versnelde versie van de maandelijkse patchcyclus.

Dit houdt in dat updates eerst worden uitgerold in een testomgeving. Die bestaat uit systemen die geconfigureerd zijn om een weerspiegeling te vormen van de meest kritieke of de meest ‘patchgevoelige’ systemen, en bedoeld om te zien hoe ze presteren. Zodra de mogelijke problemen geïdentificeerd en opgelost zijn, kan de kritieke patch uitgerold worden naar de gelijksoortige systemen in productie.

Ditzelfde proces kan je, afhankelijk van de mogelijkheden van je organisatie, herhalen voor minder kritieke systemen. Aangezien een normale maandelijkse patchcyclus twee weken van testen in beslag kan nemen, gaat het hier vaak  om een enkele update, waardoor een observatieperiode van slechts twee dagen heel acceptabel kan zijn voor de live rollout.

Het belangrijkste is dat je weet wat je kunt verwachten als kritieke updates worden geïnstalleerd, en hoe je moet reageren bij problemen. Nogmaals, je bedrijfsbeleid en -procedures moeten op elkaar aansluiten, zodat de IT operations en security-teams samen de omgeving kunnen beveiligen. Er zullen altijd uitzonderingen zijn, maar werken met vaste procedures is veel prettiger dan in paniek raken wanneer zich een noodsituatie voordoet zoals PrintNightmare.

Patch-voorspellingen

De Patch Tuesday van juli was zeer omvangrijk met met 84 CVE’s (Common Vulnerabilities and Exposures) die werden aangepakt in Windows 10, waaronder 3 zero-days en 5 publiekelijk onthulde kwetsbaarheden. Deze maand verwacht ik een kleinere reeks updates, aangezien het vakantietijd is en veel mensen er dit jaar ook daadwerkelijk gebruik van maken.

Wel één opmerkelijk ding is dat Microsoft deze maand een application control-mogelijkheid gaat activeren die potentieel ongewenste toepassingen (PUAs) zal blokkeren. Deze functie werd stilletjes in mei geïntroduceerd, waarna deze aankondiging volgde over het activeren ervan in de updates van augustus. Goed om te weten voor het geval je telefoontjes krijgt van je gebruikers dat hun persoonlijke applicaties ineens niet meer goed werken. De instellingen voor deze functie zijn te vinden in het instellingenscherm van Windows Security. De configuratieopties zijn te vinden als je Reputation-based protection settings selecteert onder App- & browser control.

Vergeet verder niet dat Windows 11 officieel is aangekondigd op 24 juni. Hoewel de aankondiging vermeldde dat het rond de feestdagen zou worden uitgebracht, zijn er vroege aanwijzingen dat het al in oktober uit zal komen, wat in lijn is met de nieuwe versies van Windows 10 die in het verleden zijn uitgebracht.

Overige adviezen en voorspellingen

  • Er is weinig bijzonders op het gebied van besturingssysteem- en applicatie-ondersteuning deze maand. Ik voorspel dat het aantal aangepakte CVE’s veel minder zal zijn dan vorige maand. Naast de reguliere ondersteunde besturingssystemen, zullen de Extended Security Updates (ECU’s) voor Windows 7 en Server 2008/2008 R2 zoals gebruikelijk worden uitgebracht. Internet Explorer updates zijn nu een regelmatig terugkerend verschijnsel, dus verwacht deze maand weer een nieuwe set.
  • Er zijn al een tijdje geen SQL server of .NET framework updates meer geweest, dus wees er alert op als ze weer opduiken.
  • Adobe heeft op 20 juli updates vrijgegeven voor veel van zijn toepassingen, en er zijn geen vooraankondigingen gedaan voor Acrobat en Reader. Het zou een rustige week voor hen moeten zijn.
  • Apple heeft eind juli beveiligingsupdates uitgebracht voor de besturingssystemen Big Sur, Mojave en Catalina, dus installeer die zo snel mogelijk. Er zou mogelijk binnenkort een iTunes of een iCloud-beveiligingsupdate aan kunnen komen.
  • Google heeft op 2 augustus een stable channel-update voor Chrome OS naar 92.0.4515.130 uitgebracht en deze week diverse bèta-channelupdates voor andere producten, dus verwacht volgende week geen beveiligingsrelease.
  • Mozilla bracht voor het laatst beveiligingsupdates voor Firefox en Thunderbird uit op Patch Tuesday in juli, dus ik verwacht dat we volgende week een nieuwe set zullen krijgen.

Conclusie

Neem de tijd om terug te blikken op je aanpak van de PrintNightmare updates. Hebben je noodpatchprocedures gewerkt zoals gepland? En heb je daarmee ook voldaan aan alle verwachtingen van het beveiligingsbeleid van je organisatie? Zo niet, dan is nu het moment om die situatie te verbeteren. Het volgende noodpatch-incident kan immers al op de loer liggen.

Dit is een ingezonden bijdrage van Todd Schell, Senior Product Manager Security bij Ivanti. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.