Søg

Hvis der er en patch, hvad er så problemet?

Klumme: Uanset om der er tale om simple patches eller patches i flere faser, går der generelt alt for lang tid, fra en patch er udsendt, til virksomhederne får den installeret. Det er et af de grundlæggende problemer ved patching som metode til at lukke sikkerhedshuller.

20. oktober 2020 kl. 11.40
Artikel top billede

(Foto: Computerworld US/CSO)

Jesper Mikkelsen Jesper Mikkelsen Technical director, Nordics, Trend Micro

Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.

Sikkerhedssårbarheden Zerologon er af mange blevet kaldt 2020’s mest alvorlige til trods for, at der hurtigt kom en patch.

Zerologon udstiller nemlig, hvorfor traditionel patching i mange virksomheder er en problematisk og ineffektiv måde at lukke sikkerhedshuller på.

Der er ingen tvivl om, at Zerologon er et meget alvorligt sikkerhedshul. Derfor scorer Zerologon også 10 ud af 10 på “severity” i Common Vulnerability Scoring System (CVSS), som er en åben industristandard til at vurdere sikkerhedssårbarheder i it-systemer med.

Sårbarhed på over 70 procent af verdens servere

Kort fortalt er Zerologon en sårbarhed i operativsystemet Microsoft Windows Server, som benyttes på mere end 70 procent af verdens servere.

Mere nøjagtigt skal sårbarheden findes i Microsoft Netlogon, som er den service, Microsoft Server benytter til blandt andet authentification af brugere og til at opdatere kodeord på netværkets computere.

Sårbarheden betyder, at en hacker for eksempel vil kunne udgive sig for at være enhver computer på netværket, få administratoradgang, ændre kodeord og afvikle programmer på computere på netværket.

Grundlæggende kan hackere overtage hele netværket, og vi har allerede set de første hackerangreb, som udnytter Zerologon.

Microsoft udsendte de første patches, som skal begrænse sårbarheden, i august i år.

Nu tænker du måske: “Hvis der findes en patch, så er der vel ikke noget problem længere. Hackerne er videre til andre sårbarheder, når den her er kommet frem i lyset.” Men tilgangen “patch det og fortsæt” er ikke så ligetil, som det umiddelbart lyder.

Sårbarheder står åbne i månedsvis

For det første er det ikke helt enkelt at patche Zerologon. Den første patch begrænser nemlig kun problemet delvist, fordi det vil skabe tekniske problemer hos mange virksomheder, hvis Microsoft ændrer koden i Netlogon med det samme.

Derfor skal patchen indfases over en længere periode, og der skal derfor yderligere patching til for at løse problemet helt.

Zerologon-sårbarheden bliver først fuldstændigt elimineret i næste fase, som er i sat i kalenderen 9. februar 2021 - altså seks måneder efter offentliggørelsen af sårbarheden.

Og her er vi fremme ved et af de grundlæggende problemer ved patching som metode til at lukke sikkerhedshuller: Uanset om der er tale om simple patches eller patches i flere faser, går der generelt alt for lang tid fra en patch er udsendt, til virksomhederne får den installeret.

Det tager typisk et sted mellem 60-150 dage for en patch at blive implementeret i en virksomhed. Zerologon blev offentliggjort i august, så den første patch vil blive implementeret i alverdens virksomheder i perioden mellem oktober 2020 og januar 2021.

Du har muligvis hørt cybersikkerhedsjoken om, at efter Patch Tuesday kommer Exploit Wednesday.

Bag joken ligger den virkelighed, at når der den første tirsdag i hver måned udsendes en række patches fra Microsoft og Adobe, så går hackerne derefter i gang med at pille disse patches fra hinanden.

Hackerne bruger ganske enkelt patches til at identificere sårbarheder, som de kan nå at udnytte, inden virksomhederne når at implementere de mange patches, som kommer hver måned.

Med andre ord betyder det, at en virksomhed typisk har velkendte sikkerhedssårbarheder på deres netværk i to-fem måneder efter, at sårbarhederne er blevet offentligjort.

Virtual patching som effektiv stepping stone

Men hvis patching går for langsomt, hvordan lukker man så det enorme tidsmæssige gap på flere måneder, hvor sårbarhederne står åbne og kan udnyttes?

Her kommer virtual patching ind i billedet som et langt mere tidseffektivt supplement. Som navnet antyder, er virtual patching ligesom en officielle patch men uden den problematiske forsinkelse, som den traditionelle patchproces fører med sig.

Man kan kalde virtual patching et midlertidigt strakssikkerhedsnet, som automatisk spændes ud for at beskytte imod de eventuelle angreb, der kan komme, indtil ens virksomhed er klar til at implementere den officielle patch.

Den grundlæggende forskel mellem en virtual patch og en officiel patch er, at en virtual patch består af en række af regler, som begrænser sikkerhedsrisikoen ved en specifik sårbarhed, men uden at ændre koden i den sårbare software.

Det betyder, at der er en langt mindre risiko for, at en virksomhed får tekniske problemer eller systemkonflikter, hvis man anvender en virtual patch, end hvis man installerer en officiel patch, som måske skaber en nyt ukendt problem samtidig med, at den løser sikkerhedsproblemet.

Samtidig kan en virtual patch også implementeres uden at lukke de berørte servere og systemer ned.

Det betyder, at nedetid er et non-issue i modsætning til nødsituationer, hvor it-afdelingen pludselig finder ud af, at man har overset en kritisk patch og derfor er nødt til at straks at lukke forretningskritiske systemer ned for at installere den.

Med virtual patching kan man vente med at installere kritiske patches, til det for eksempel passer med anden planlagt nedetid.

Endelig har virtual patching også den store fordel, at man som virksomhed er beskyttet, langt før den officielle patch er tilgængelig.

Det skyldes, at cybersikkerhedsselskaberne kan skabe en virtuel patch langt hurtigere, end producenterne kan programmere den officielle patch, som skal testes grundigt, før den kan udsendes.

For eksempel har vi hos Trend Micro typisk en virtual patch klar 81 dage før den officielle patch.

Hvor virksomheder, der udelukkende lukker sikkerhedshuller ved hjælp af traditionel patching, halser fem måneder efter hackerne, kan man altså ved at supplere med virtual patching i stedet komme næsten tre måneder foran. En fordel, som kan være altafgørende i en verden, hvor trusselsbilledet ændrer sig fra time til time.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Seneste nyt

|Vis seneste uge

Annonce

Læses lige nu

    Netcompany A/S

    Linux Operations Engineer

    Midtjylland

    Shure Scandinavia A/S

    Signal Processing Developer with Ambitions

    Københavnsområdet

    Schultz

    Senior softwareudvikler med erfaring inden for DevOps og infrastruktur

    Københavnsområdet

    Netcompany A/S

    IT Manager

    Nordjylland

    Se flere it-stillinger
    MSI Cubi NUC AI 1UMG: Stor ydeevne i et lille, bæredygtigt format

    Annonceindlæg fra MSI

    MSI Cubi NUC AI 1UMG: Stor ydeevne i et lille, bæredygtigt format

    MSI Cubi NUC AI 1UMG beviser, at kraftfuld performance ikke kræver stor plads.

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    VisionBird har pr. 1. november 2025 ansat Kelly Lyng Ludvigsen, 38 år, som Seniorrådgiver. Hun skal især beskæftige sig med Rådgivning og undervisning i Contract Management. Hun kommer fra en stilling som Contract Manager hos Novo Nordisk. Hun er uddannet Cand. jur. og BS fra CBS. Hun har tidligere beskæftiget sig med Contract Management i flere roller i både det private, offentlige og som konsulent. Nyt job

    Kelly Lyng Luvigsen

    VisionBird

    Netip A/S har pr. 15. september 2025 ansat Jimmi Overgaard som Key Account Manager ved netIP's kontor i Viborg. Han kommer fra en stilling som Sales Executive hos Globalconnect A/S. Nyt job

    Jimmi Overgaard

    Netip A/S

    Norriq Danmark A/S har pr. 1. september 2025 ansat Søren Vindfelt Røn som Data & AI Consultant. Han skal især beskæftige sig med at effektivisere, planlægge og implementere innovative, digitale løsninger for Norriqs kunder. Han kommer fra en stilling som Co-founder & CMO hos DrinkSaver. Han er uddannet Masters of science på Københavns IT-Universitet. Nyt job

    Søren Vindfelt Røn

    Norriq Danmark A/S

    Industriens Pension har pr. 3. november 2025 ansat Morten Plannthin Lund, 55 år, som it-driftschef. Han skal især beskæftige sig med it-drift, it-support og samarbejde med outsourcingleverandører. Han kommer fra en stilling som Head of Nordic Operations Center hos Nexi Group. Han er uddannet HD, Business Management på Copenhagen Business School. Han har tidligere beskæftiget sig med kritisk it-infrastruktur og strategiske it-projekter. Nyt job

    Morten Plannthin Lund

    Industriens Pension

    Se mere fra navnenyt

    Mest læste

    1 Kæmpe opdatering i nat: Nu kan MobilePay fuldstændig erstatte Apple Pay
    2 Her er årsagen: Derfor gik Cloudflare og store dele af internettet ned i seks timer
    3 Fransk dommer vakte Trumps vrede – nu er hans kreditkort og konti hos Amazon, Airbnb og PayPal lukket ned
    4 Test: Denne AI-supercomputer i mikro-format er langt mere anvendelig, end du tror
    5 Datatilsynet bestormes af hundredevis af bekymrede danske bilforhandlere efter kæmpelæk af bilejeres data
    6 Han lejede servere ud til hackere bag angreb på dansk høreappartsgigant og Vestas: Nu er han på amerikansk sanktionsliste
    7 Andel gør klar til at købe it-konsulenter for op til 100 millioner kroner
    8 Morgen-briefing: Systematic fylder 40: Hvad er stifter Michael Holm mest stolt af? / Bestyrelsesmedlem forlader OpenAI: Alt for tæt kontakt med Epstein / WhatsApp-fejl fører til sporing af 3,5 milliarder numre: “Største læk nogensinde”

    Se seneste uge