Risico van Ransomware verhoogt noodzaak tot patchen

Cybercriminelen zijn snel in het vinden en uitbuiten van zwakke plekken in netwerken van bedrijven om deze vervolgens als losgeld te gebruiken. Eén truc is het volgen van de voortdurende uitgave van softwarepatches door IT-platforms en -leveranciers - en dan binnen te glippen voordat bedrijven de patches toepassen.

"Wanneer dreigingsactoren in staat zijn om binnen enkele uren of dagen in het offensief te gaan, zullen organisaties die dagen, weken of maanden nodig hebben om verdediging te spelen, meestal worden overvleugeld", aldus een nieuw rapport van Osterman Research, , gesponsord door Mimecast. Slechts 51% van de ondervraagde beveiligingsprofessionals zegt effectief te zijn in het waarborgen dat alle systemen en endpoints snel worden gepatcht nadat patches zijn uitgebracht. Deze bevinding uitsplitsen:

• Zesendertig procent zegt dat ze systemen en toepassingen kunnen patchen binnen enkele uren nadat ze kennis hebben genomen van nieuwe kwetsbaarheden.
• Vierenveertig procent zegt dat ze er dagen over doen.
• De resterende 20% duurt een week tot enkele maanden.

Los daarvan bleek uit een rapport van het Ponemon Institute dat 42% van de bedrijven die met een datalek te maken kregen, hun eigen falen om een patch voor een bekende kwetsbaarheid aan te brengen, als schuldige aanwijzen. [1]

Het probleem met patchen

Een patch is een nieuwe versie van bestaande software die gebreken blijkt te bevatten - bekend als kwetsbaarheden als ze kwaadaardige activiteiten mogelijk kunnen maken. Sommige kwetsbaarheden kunnen al jaren bestaan voordat ze werden ontdekt en gepatcht, terwijl andere in nieuwe softwareversies kunnen worden geïntroduceerd. Aanvallers kunnen zich bijvoorbeeld via een phishing-e-mail toegang tot een netwerk verschaffen, hun niveau van administratieve rechten verhogen en ongepatchte assets als doelwit kiezen om programma's zoals ransomware te installeren. [2]

In het Osterman-onderzoek komt patchen op de tweede plaats na multifactorauthenticatie als effectief middel tegen ransomware, aangehaald vanwege het vermogen om onverdedigde gebieden te verkleinen en de kans dat men bezwijkt voor een aanval te verkleinen. Toch zegt 52% van de ondervraagde professionals bang te zijn dat ze zichzelf blootstellen aan ransomware door systemen en applicaties niet te patchen.

Patching is een eeuwigdurend probleem. "Patching prestaties zijn dit jaar in organisaties niet stellair geweest," volgens Verizon's 2021 Data Breach Investigations Report. "Toegegeven, het is nooit geweldig geweest." [3]

Ponemon schat dat het 28 dagen kan duren om een patch te installeren wanneer een kritieke kwetsbaarheid of een kwetsbaarheid met hoog risico wordt ontdekt op locatie, en 19 dagen wanneer de kwetsbaarheid wordt ontdekt in de meer gecentraliseerde cloudomgeving.

Waarom kwetsbaarheden ongepatcht blijven

Veel bedrijven beschikken niet over de nodige technologie, mensen en processen om de niet aflatende stroom patches van IT-platforms en leveranciers bij te houden. Zelfs als er middelen beschikbaar zijn, "is tijdige patching moeilijk te realiseren", aldus Ponemon.

Op menselijk niveau zijn "weinig taken in de beveiliging vervelender dan het beheer van kwetsbaarheden", aldus Cisco in een enquête onder beveiligingsprofessionals, die patching een van de minst goed uitgevoerde praktijken in het veld noemt. [4] Redenen voor het uitstellen of achterwege laten van patches zijn onder meer:

• Tijdverlies door het opsporen en verhelpen van valse positieven.
• Geen tolerantie voor de downtime die nodig is voor patches.
• Geen gemeenschappelijk beeld van toepassingen en middelen voor beveiligings- en IT-teams.
• Handmatige processen, waaronder e-mails en spreadsheets, waardoor problemen door de mazen van het net glippen.
• Gebrek aan coördinatie tussen de beveiligings- en IT-teams.
• Onvermogen om afdelingen verantwoordelijk te houden.
• Angst voor onbedoelde effecten van updates op systemen en toepassingen.
• Twijfels bij kleinere bedrijven dat aanvallers zich op hen zouden richten.
• Oude, niet-ondersteunde software en systemen waarvoor geen patches meer worden uitgebracht.

De prijs van uitgestelde patch

Er is een continue stroom van kwetsbaarheden die bedrijven blootstellen aan ransomware. Het Microsoft Vulnerabilities Report 2021 schatte dat 1.268 van hen in 2020 werden gepatcht, een stijging van 48% ten opzichte van 2019. [5] Dat is slechts één enkel techplatform, ook al is het het platform dat het meest wordt gebruikt voor de productiviteit van ondernemingen. Een krantenkop in 2020 kondigde een "patch-a-palooza" aan van 560 beveiligingslekken van zes makers van bedrijfssoftware op één dag. [6] Het volume van patches kan beveiligingsteams inderdaad overweldigen.

Maar kwetsbaarheden ongepatcht laten kan ernstige gevolgen hebben. In het Microsoft-rapport wordt verwezen naar de beroemde WannaCry ransomware-aanval van 2017 , waarin staat dat Microsoft weliswaar patches heeft uitgebracht om de exploit te sluiten, maar dat een groot deel van de verspreiding van de aanval afkomstig was van bedrijven die de patches niet hadden toegepast. Het "year in review" van het Verizon-rapport over grote inbreuken in de hele wereld vorig jaar staat vol met gevallen van ongepatchte systemen.

En hoe langer een patch ongeadresseerd blijft, zegt Osterman, hoe meer de risico's en gevolgen van ransomware toenemen langs de volgende boog:

• Eerste infectie en compromis.
• Zijwaartse beweging en doorzettingsvermogen.
• Operationele verstoring.
• Financieel compromis.
• Staking van bedrijfsactiviteiten.

Andere risico's van vertraagde patching zijn compliance en verzekeringskwesties. Een bedrijf dat zijn software niet up-to-date houdt, kan bijvoorbeeld boetes opgelegd krijgen volgens de Europese General Data Protection Regulation (GDPR) als het persoonlijke informatie blootlegt bij een datalek. [7] En cyberverzekeraars dekken mogelijk geen schade door inbreuken als een bedrijf achterloopt met het patchen.

Verbetering van het patchbeheer

Het gebruik van handmatige processen vertraagt patching, volgens Ponemon, omdat werknemers elke stap moeten toewijzen en doordrukken. Automatisering is in toenemende mate beschikbaar in de vorm van patch management en vulnerability management tools.

Patch management tools kunnen kwetsbaarheden prioriteren en automatisch taken toewijzen. Geavanceerdere tools voor het beheer van kwetsbaarheden raadplegen ook bedreigingsfeeds en voeren frequente scans uit van systemen, toepassingen en netwerken. Zelfs het Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) heeft onlangs bedrijven geadviseerd "het gebruik van een gecentraliseerd patchbeheersysteem te overwegen". [8] Bovendien besteden sommige bedrijven sommige of al deze behoeften uit aan een dienstverlener.

Het goede nieuws is dat de budgetten voor het tegengaan van ransomware verhogen. Osterman zegt dat een deel van die middelen zou moeten worden gebruikt om de mogelijkheden voor snelle patching te vergroten.

De kern van de zaak

Patchen is een fundamenteel onderdeel van cyberveiligheidshygiëne, maar bedrijven slagen er vaak niet in om dit goed te doen. Nieuw onderzoek onderstreept het belang ervan in de strijd tegen ransomware, te midden van aanbevelingen om meer werk te maken van patch management.

[1] " The State of Vulnerability Management in the Cloud and On-Premises ," Ponemon Institute

[2] " Security Patching - The Stuff of Sys Admin Nightmares ," Secure Team

[3] " 2021 Data Breach Investigations Report ," Verizon

[4] " The 2021 Security Outcomes Study ," Cisco

[5] " Microsoft Vulnerabilities Report 2021 ," BeyondTrust

[6] " Patch-a-Palooza: Meer dan 560 fouten verholpen in één dag ," Dark Reading

[7] " Patch Management en GDPR ," LP Networks

[8] " DarkSide Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks ," U.S. Cybersecurity & Infrastructure Security Agency