Je hoort soms het mantra “Never change a winning team”, gevolgd door: “het werkt, dus ik blijf er af”. Is dat wel een slimme zet?

(TL;DR onderaan)

Besturingssystemen (zoals bvb Microsoft Windows) zijn ingewikkelde stukken software die ervoor zorgen dat we überhaupt iets kunnen doen met onze computer. Deze software is ontwikkeld door een team van mensen, gebaseerd op jarenlange ervaring. En het zit in de menselijke natuur: “missen is menselijk”. Hierdoor sluipen er ongewild fouten in deze software.

Dat is daarom toch nog niet erg? Als ik dat stukje niet gebruik waar een fout in zit, dan is er toch niets aan de hand?

Het klopt dat je daar zelf in je dagelijkse activiteit geen last van hebt. En mocht jouw computer op geen enkel netwerk zijn aangesloten en jij bent de enige die deze gebruikt, dan heb je ergens wel gelijk. Maar een computer is op vandaag altijd verbonden met andere computers en meestal ook met het internet. En net daar schuilt het gevaar…

Cyber criminelen proberen gegevens die op jouw computer staan, of waar jouw computer toegang toe heeft, te bemachtigen om diverse redenen. Zij proberen die fouten die in het besturingssysteem zitten, te misbruiken.

Fabrikant van het besturingssysteem

Sommige fouten worden door de maker van het besturingssysteem (bvb Microsoft) ontdekt en opgelost met een update voordat de buitenwereld dat opmerkt.

Onderzoekers

Andere fouten worden door security onderzoekers ontdekt en in stilte gerapporteerd aan de maker van het besturingssysteem. Daarbij wordt meestal ook een termijn afgesproken tegen wanneer de security onderzoekers hun bevindingen wel wereldkundig zullen maken. Deze tijd laat de fabrikant toe om de fout op te lossen door middel van een update. Het is om verschillende redenen belangrijk dat deze tijd niet te lang is:

  • als de security onderzoekers deze fout hebben kunnen vinden, dan kan een cyber crimineel die misschien ook vinden. Zolang er geen update voor bestaat, blijft de fout een kwetsbaarheid en zouden die cyber criminelen die kunnen misbruiken om aan jouw gegevens te geraken;
  • de security onderzoekers willen zelf ook binnen hun onderzoekswereld tonen wat ze waard zijn en kenbaar maken wat ze hebben gevonden. Dat onderzoek kan dan door andere onderzoekers gebruikt worden om op verder te gaan en zo voor continue vooruitgang zorgen.

Cyber criminelen

Het meest vervelend is het wanneer cyber criminelen een fout ontdekken voordat de fabrikant (bvb Microsoft) of onderzoekers deze ontdekken. Dat zorgt er immers voor het probleem op zich door quasi niemand gekend is, en bijgevolg dat er geen oplossing voor dat probleem bestaat. De cyber criminelen hebben in deze situatie vrij spel om de fout te misbruiken. In het jargon wordt dat “Zero-day” of “0-day” genoemd: er zijn nog 0 dagen verstreken tussen het vaststellen van de fout en het oplossen (want de fout is niet gekend, dus is er geen oplossing).

Het nut van tijdig updates installeren

Installeer je kort nadat de fabrikant de update heeft beschikbaar gesteld al deze update, dan wordt het ‘window of opportunity’ voor de cyber criminelen heel wat korter. Hierdoor daalt de kans drastisch dat jouw bedrijf slachtoffer wordt van de gevonden fout.

Wacht je daarentegen met het installeren van de updates, dan geef je de cyber criminelen heel veel meer tijd om de fout bij jouw bedrijf uit te buiten en aan de haal te gaan met jouw gegevens, deze onbruikbaar te maken door ze te versleutelen, …

Hoogdringendheid van updates

De zogenaamde fout in het besturingssysteem waarvan hierboven sprake, wordt in het jargon een kwetsbaarheid of vulnerability genoemd. Dergelijke vulnerabilities beperken zich niet tot het besturingssysteem, maar komen minstens evenveel voor in software zoals databaseservers, mailservers, fileservers, printservers, webservers, … Elke gekende kwetsbaarheid krijgt een CVE-code. CVE staat hier voor Common Vulnerability Enumeration. Van elke CVE wordt een score berekend volgens het CVSS: het Common Vulnerability Scoring System.

Deze CVSS-score houdt rekening met hoe makkelijk het is om de kwetsbaarheid te misbruiken (exploitability) en met hoe groot de impact is wanneer dat gebeurd. Hoe dichter de score bij 10, hoe ernstiger!

Dus waarom?

Het is met andere woorden zeer belangrijk om:

  • updates voor kwetsbaarheden met hoge CVSS-score zo snel mogelijk te installeren;
  • updates voor andere kwetsbaarheden tijdig te installeren;
  • een bedrijfsproces te hebben waardoor je niet ad-hoc, maar systematisch de updates doorvoert;
  • rekening te houden met een eventuele roll-back wanneer het installeren van een update niet loopt naar wens.

ISO27001 spreekt op verschillende plaatsen over het installeren van updates, waaronder in 12.5, 12.6, 14.2, … Ook dat illustreert het belang hiervan.

IEC 62443 heeft een volledig apart document gewijd aan Patch Management in the IACS environment: het Technical Report 62443-2-3

TL;DR

Fabrikanten brengen updates uit voor hun software en/of besturingssystemen. Wanneer je wacht met die te installeren, zet je de spreekwoordelijke deur open voor cyber criminelen om de fouten die door deze updates worden opgelost, te misbruiken. Daarom is het belangrijk om tijdig en systematisch de updates te installeren.

Vraag raad aan specialisten

Spinae staat alvast klaar om u te adviseren en te ondersteunen hierbij. Heeft u vragen of bekommernissen rond IT security of rond OT security? Neem contact op met onze experts, ze helpen u graag.