Reducer risikoen for ubudne gæster - Hold programmer og operativsystemer opdateret
Når software i netværksudstyr, pc'er og på servere ikke holdes opdateret, og dermed ikke har de seneste fejlrettelser, er der større risiko for at få ubudne gæster.
8. marts, 2019 - Kl. 08.30
[Oprindeligt publiceret af Center for Cybersikkerhed]
Det er ofte gennem manglende opdateringer, at hackere får adgang til interne informationer hos danske myndigheder, virksomheder og organisationer.
Inden for de seneste år har leverandører af operativsystemer og andre softwareløsninger arbejdet på at sikre hurtig udsendelse af fejlrettelser, når sårbarheder til deres løsninger opdages. Det er derfor en god ide, at sikre sig, at alle sikkerhedskritiske fejlrettelser til software implementeres i takt med, at fejlrettelserne udsendes.
I de tilfælde hvor et givent system ikke kan opdateres, fordi det f.eks. er en såkaldt legacy-applikation, kan disse systemer sikres på anden vis, så kendte sårbarheder ikke kan udnyttes. Det kan eksempelvis ske ved at isolere dem ved hjælp af gateways.
Desværre er det ikke alle organisationer der får sikret, at leverandørernes fejlrettelser implementeres hurtigt. Her kan en dokumenteret og struktureret proces for håndtering af sikkerhedsopdateringer hjælpe, en såkaldt ”Patch Management” proces, og processen kan med fordel integreres med processen for ændringsstyring (”Change Management proces”).
Med en sådan proces kan ansvaret for at følge med i de opdateringer, it-leverandører sender ud, uddelegeres, så det sikres, at der ikke er noget, der bliver overset. Det kan også undersøges, hvilke hjælpeværktøjer, der kan automatisere større eller mindre dele af udrulningen af opdateringer.
Kompenserende tiltag
Det er altid en god ide, at der sker en vurdering af, om en ny opdatering er relevant for organisationen, inden den udrulles. Hvis vurderingen er, at opdateringen er nødvendig, kan der ses på, hvordan den så skal testes inden udrulning. Med dette ansvar følger også ansvaret for at identificere og designe kompenserende tiltag.
Kompenserende tiltag er tiltag, der skal implementeres, hvis en kritisk sikkerhedsopdatering ikke installeres umiddelbart. Kompenserende tiltag skal opfattes som en alternativ måde at løse det problem, som opdateringen ville have løst, hvis den blev implementeret. Som eksempel kan nævnes blokering for afviklingen af macroer i dokumenter og regneark. Derudover er det også fordelagtigt, at opdateringen kan tilbagetrækkes (rollback), hvis den viser sig at have uhensigtsmæssige konsekvenser.
Det kan også overvejes, om der bør udarbejdes en opdateret oversigt over alle ens produktionssystemer (servere, pc’er, softwareunderstøttet netværksudstyr) med tilhørende operativsystemer og applikationer. Listen bør ligeledes indeholde en identifikation af, hvor udstyret er placeret og kan identificeres på netværket, herunder fysisk adresse, IP-adresse mv.
I samme omgang kan der også udarbejdes og gennemføres en plan for standardisering af produktionssystemerne, således at der anvendes samme version af operativsystem og applikationssoftware, hvor det er muligt og gerne inden for samme netværkssegment. Jo færre varianter jo bedre.
Læs mere her:
Vejledningen ”Cyberforsvar der virker” fra Center for Cybersikkerhed beskriver en syv-trinsmodel for, hvordan en organisation kan forbedre cyberforsvaret.
Læs også: Tag stilling til dine applikationer
Det er ofte gennem manglende opdateringer, at hackere får adgang til interne informationer hos danske myndigheder, virksomheder og organisationer.
Inden for de seneste år har leverandører af operativsystemer og andre softwareløsninger arbejdet på at sikre hurtig udsendelse af fejlrettelser, når sårbarheder til deres løsninger opdages. Det er derfor en god ide, at sikre sig, at alle sikkerhedskritiske fejlrettelser til software implementeres i takt med, at fejlrettelserne udsendes.
I de tilfælde hvor et givent system ikke kan opdateres, fordi det f.eks. er en såkaldt legacy-applikation, kan disse systemer sikres på anden vis, så kendte sårbarheder ikke kan udnyttes. Det kan eksempelvis ske ved at isolere dem ved hjælp af gateways.
Desværre er det ikke alle organisationer der får sikret, at leverandørernes fejlrettelser implementeres hurtigt. Her kan en dokumenteret og struktureret proces for håndtering af sikkerhedsopdateringer hjælpe, en såkaldt ”Patch Management” proces, og processen kan med fordel integreres med processen for ændringsstyring (”Change Management proces”).
Med en sådan proces kan ansvaret for at følge med i de opdateringer, it-leverandører sender ud, uddelegeres, så det sikres, at der ikke er noget, der bliver overset. Det kan også undersøges, hvilke hjælpeværktøjer, der kan automatisere større eller mindre dele af udrulningen af opdateringer.
Kompenserende tiltag
Det er altid en god ide, at der sker en vurdering af, om en ny opdatering er relevant for organisationen, inden den udrulles. Hvis vurderingen er, at opdateringen er nødvendig, kan der ses på, hvordan den så skal testes inden udrulning. Med dette ansvar følger også ansvaret for at identificere og designe kompenserende tiltag.
Kompenserende tiltag er tiltag, der skal implementeres, hvis en kritisk sikkerhedsopdatering ikke installeres umiddelbart. Kompenserende tiltag skal opfattes som en alternativ måde at løse det problem, som opdateringen ville have løst, hvis den blev implementeret. Som eksempel kan nævnes blokering for afviklingen af macroer i dokumenter og regneark. Derudover er det også fordelagtigt, at opdateringen kan tilbagetrækkes (rollback), hvis den viser sig at have uhensigtsmæssige konsekvenser.
Det kan også overvejes, om der bør udarbejdes en opdateret oversigt over alle ens produktionssystemer (servere, pc’er, softwareunderstøttet netværksudstyr) med tilhørende operativsystemer og applikationer. Listen bør ligeledes indeholde en identifikation af, hvor udstyret er placeret og kan identificeres på netværket, herunder fysisk adresse, IP-adresse mv.
I samme omgang kan der også udarbejdes og gennemføres en plan for standardisering af produktionssystemerne, således at der anvendes samme version af operativsystem og applikationssoftware, hvor det er muligt og gerne inden for samme netværkssegment. Jo færre varianter jo bedre.
Læs mere her:
Vejledningen ”Cyberforsvar der virker” fra Center for Cybersikkerhed beskriver en syv-trinsmodel for, hvordan en organisation kan forbedre cyberforsvaret.
Læs også: Tag stilling til dine applikationer