Artikel top billede

(Foto: Computerworld US/CSO)

Hvis der er en patch, hvad er så problemet?

Klumme: Uanset om der er tale om simple patches eller patches i flere faser, går der generelt alt for lang tid, fra en patch er udsendt, til virksomhederne får den installeret. Det er et af de grundlæggende problemer ved patching som metode til at lukke sikkerhedshuller.

Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.

Sikkerhedssårbarheden Zerologon er af mange blevet kaldt 2020’s mest alvorlige til trods for, at der hurtigt kom en patch.

Zerologon udstiller nemlig, hvorfor traditionel patching i mange virksomheder er en problematisk og ineffektiv måde at lukke sikkerhedshuller på.

Der er ingen tvivl om, at Zerologon er et meget alvorligt sikkerhedshul. Derfor scorer Zerologon også 10 ud af 10 på “severity” i Common Vulnerability Scoring System (CVSS), som er en åben industristandard til at vurdere sikkerhedssårbarheder i it-systemer med.

Sårbarhed på over 70 procent af verdens servere

Kort fortalt er Zerologon en sårbarhed i operativsystemet Microsoft Windows Server, som benyttes på mere end 70 procent af verdens servere.

Mere nøjagtigt skal sårbarheden findes i Microsoft Netlogon, som er den service, Microsoft Server benytter til blandt andet authentification af brugere og til at opdatere kodeord på netværkets computere.

Sårbarheden betyder, at en hacker for eksempel vil kunne udgive sig for at være enhver computer på netværket, få administratoradgang, ændre kodeord og afvikle programmer på computere på netværket.

Grundlæggende kan hackere overtage hele netværket, og vi har allerede set de første hackerangreb, som udnytter Zerologon.

Microsoft udsendte de første patches, som skal begrænse sårbarheden, i august i år.

Nu tænker du måske: “Hvis der findes en patch, så er der vel ikke noget problem længere. Hackerne er videre til andre sårbarheder, når den her er kommet frem i lyset.” Men tilgangen “patch det og fortsæt” er ikke så ligetil, som det umiddelbart lyder.

Sårbarheder står åbne i månedsvis

For det første er det ikke helt enkelt at patche Zerologon. Den første patch begrænser nemlig kun problemet delvist, fordi det vil skabe tekniske problemer hos mange virksomheder, hvis Microsoft ændrer koden i Netlogon med det samme.

Derfor skal patchen indfases over en længere periode, og der skal derfor yderligere patching til for at løse problemet helt.

Zerologon-sårbarheden bliver først fuldstændigt elimineret i næste fase, som er i sat i kalenderen 9. februar 2021 - altså seks måneder efter offentliggørelsen af sårbarheden.

Og her er vi fremme ved et af de grundlæggende problemer ved patching som metode til at lukke sikkerhedshuller: Uanset om der er tale om simple patches eller patches i flere faser, går der generelt alt for lang tid fra en patch er udsendt, til virksomhederne får den installeret.

Det tager typisk et sted mellem 60-150 dage for en patch at blive implementeret i en virksomhed. Zerologon blev offentliggjort i august, så den første patch vil blive implementeret i alverdens virksomheder i perioden mellem oktober 2020 og januar 2021.

Du har muligvis hørt cybersikkerhedsjoken om, at efter Patch Tuesday kommer Exploit Wednesday.

Bag joken ligger den virkelighed, at når der den første tirsdag i hver måned udsendes en række patches fra Microsoft og Adobe, så går hackerne derefter i gang med at pille disse patches fra hinanden.

Hackerne bruger ganske enkelt patches til at identificere sårbarheder, som de kan nå at udnytte, inden virksomhederne når at implementere de mange patches, som kommer hver måned.

Med andre ord betyder det, at en virksomhed typisk har velkendte sikkerhedssårbarheder på deres netværk i to-fem måneder efter, at sårbarhederne er blevet offentligjort.

Virtual patching som effektiv stepping stone

Men hvis patching går for langsomt, hvordan lukker man så det enorme tidsmæssige gap på flere måneder, hvor sårbarhederne står åbne og kan udnyttes?

Her kommer virtual patching ind i billedet som et langt mere tidseffektivt supplement. Som navnet antyder, er virtual patching ligesom en officielle patch men uden den problematiske forsinkelse, som den traditionelle patchproces fører med sig.

Man kan kalde virtual patching et midlertidigt strakssikkerhedsnet, som automatisk spændes ud for at beskytte imod de eventuelle angreb, der kan komme, indtil ens virksomhed er klar til at implementere den officielle patch.

Den grundlæggende forskel mellem en virtual patch og en officiel patch er, at en virtual patch består af en række af regler, som begrænser sikkerhedsrisikoen ved en specifik sårbarhed, men uden at ændre koden i den sårbare software.

Det betyder, at der er en langt mindre risiko for, at en virksomhed får tekniske problemer eller systemkonflikter, hvis man anvender en virtual patch, end hvis man installerer en officiel patch, som måske skaber en nyt ukendt problem samtidig med, at den løser sikkerhedsproblemet.

Samtidig kan en virtual patch også implementeres uden at lukke de berørte servere og systemer ned.

Det betyder, at nedetid er et non-issue i modsætning til nødsituationer, hvor it-afdelingen pludselig finder ud af, at man har overset en kritisk patch og derfor er nødt til at straks at lukke forretningskritiske systemer ned for at installere den.

Med virtual patching kan man vente med at installere kritiske patches, til det for eksempel passer med anden planlagt nedetid.

Endelig har virtual patching også den store fordel, at man som virksomhed er beskyttet, langt før den officielle patch er tilgængelig.

Det skyldes, at cybersikkerhedsselskaberne kan skabe en virtuel patch langt hurtigere, end producenterne kan programmere den officielle patch, som skal testes grundigt, før den kan udsendes.

For eksempel har vi hos Trend Micro typisk en virtual patch klar 81 dage før den officielle patch.

Hvor virksomheder, der udelukkende lukker sikkerhedshuller ved hjælp af traditionel patching, halser fem måneder efter hackerne, kan man altså ved at supplere med virtual patching i stedet komme næsten tre måneder foran. En fordel, som kan være altafgørende i en verden, hvor trusselsbilledet ændrer sig fra time til time.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.