Hvorfor er det så svært at patche?

Feb 10, 2022

Hvis man studerer alle de gode råd om it sikkerhed, er der blandt andet et, der altid dukker op, nemlig

Sørg altid for at holde alle dine programmer og hardware opdateret.

Center for internet security (CIS) nævner patch som en af de første i deres 20 controls, SANS nævner ligeledes patch som en af de vigtigste og endelig har CFCS fokus på patching i deres Cyberforsvar, der virker – for bare at nævne et par eksempler

Med mine mange år i branchen har jeg efterhånden hørt de fleste undskyldninger for ikke at få patchet hurtigt

  • Vi følger en fast procedure, der foreskriver at det tager xx dage/uger/måneder at rulle en patch på
  • Vi har freeze zone, så vi kan ikke patche i denne måned
  • Vi accepterer risikoen
  • Vi har (en eller anden fancy) endpoint protection løsning, som stopper angreb, så vi accepterer risikoen
  • Vi accepterer risikoen
  • Vi kan ikke patche, da der er risiko for nedetid
  • Vi accepterer risikoen
  • Vi har en gammel version af (Indsæt selv navn på applikation) som vi ikke kan opdatere
  • Eller min favorit – ”jamen der er ingen andre, der patcher automatisk, så det kan vi heller ikke” – Say what????

Personligt er jeg overbevist om at hackerne (jeg vælger at omtale disse som hackerne for nemheds skyld) er temmelig tilfredse med ovenstående undskyldninger, for det gør det da unægtelig nemmere at udnytte et system, der mangler en eller flere (tilgængelige) patches.

Jeg er heldigvis også stødt på nogle organisationer, der ikke ønskede at gøre det nemt for hackerne.

  • Automatisk patch af 3. parts applikationer vha et tool
  • Dagligt tjek af om der findes opdateringer til 3. parts applikationer og udrulning i løbet af meget kort tid til alle devices
  • Jævnlig tjek af om der findes patches til hw, og efterfølgende udrulning
  • Automatisk patch af OS til alle devices – nogle med testbrugere og opsat forsinkelse på et par dage før patch af prod andre med automatisk patch til alle devices uden så meget forsinkelse
  • Og nogle hvor systemer, der af den ene eller anden grund ikke kan patches, er pakket ind efter alle kunstens regler.