Afgelopen juli kwamen de foutieve patches van het gerenommeerde beveiligingsbedrijf CrowdStrike wereldwijd in het nieuws. De patches, die voor crashes zorgden, hebben eens te meer het belang van een gestructureerd proces voor patchmanagement onderstreept. In deze blog neemt Cyber Security Consultant Joris je mee in de stappen die organisaties kunnen nemen om het risico van een problematische patch te mitigeren.
In juli zorgden de Rapid Response Content patches van CrowdStrike wereldwijd voor problemen doordat ze onbedoeld crashes in Windows-systemen veroorzaakten. Deze patches, die eigenlijk bedoeld waren om op operationele snelheid dreigingen te neutraliseren, bevatten fouten op een laag technisch niveau. Hierdoor kon Windows de crashes niet afvangen.
De spoedpatches van Crowdstrike zijn software-updates die snel worden uitgebracht op de detectiesoftware die bij hun klanten is geïnstalleerd om kritieke beveiligingskwetsbaarheden of ernstige bugs in een systeem te kunnen herkennen. Deze patches worden buiten het reguliere update- of releasecyclus uitgebracht vanwege de urgentie van het probleem. Dit soort patches zijn vaak cruciaal om kwetsbaarheden snel te kunnen vinden en verhelpen, maar kunnen ook risico’s met zich meebrengen als ze niet grondig getest zijn. Denk hierbij aan processen die niet meer werken omdat een koppeling met een andere applicatie anders werkt, een dataformat die niet meer ondersteund wordt of functies in een programmeertaal die zijn verouderd.
Patchmanagement is het proces van het beheren van software-updates en -patches die worden uitgebracht door softwareleveranciers. Het doel? De veiligheid, functionaliteit en stabiliteit van systemen en applicaties waarborgen door het toepassen van de laatste updates en het oplossen van bekende kwetsbaarheden en bugs. Een gestructureerd proces voor patchmanagement kan de impact van een foutieve patch aanzienlijk beperken. Dit proces ziet er als volgt uit:
Stap 1: Detecteren van missende patches
Het begint allemaal met het identificeren van ontbrekende patches. Dit kan handmatig, maar bij voorkeur automatisch, door de huidige softwareversies te vergelijken met de meest recente versies die door de leverancier worden aangeboden. Hiermee voorkom je dat belangrijke updates over het hoofd worden gezien.
Stap 2: Downloaden van de patch
Wanneer duidelijk is dat een nieuwe versie van de geïnstalleerde software beschikbaar is, is de volgende stap het downloaden van deze versie van de leverancier. Dit vormt de basis voor de verdere stappen in het patchmanagementproces.
Stap 3: Prioriteren van patches
In een organisatie worden vaak verschillende softwarepakketten gebruikt, wat betekent dat regelmatig meerdere patches tegelijk beschikbaar kunnen komen. Het is belangrijk om het belang van elke patch te beoordelen en een volgorde te bepalen waarin ze uitgerold moeten worden. Patches die kritieke beveiligingskwetsbaarheden oplossen, hebben doorgaans de hoogste prioriteit.
Stap 4: Testen van de patch
De realiteit is dat softwareleveranciers niet exact weten hoe hun software binnen elke individuele organisatie wordt gebruikt. Zij kunnen dus een werkende patch aanleveren die toch tot onverwachte problemen kan leiden, zoals incompatibiliteit met andere applicaties of dataformaten. Daarom is het cruciaal om de patch eerst grondig te testen in een testomgeving die overeenkomt met de productieomgeving.
Stap 5: Uitrollen naar de productieomgeving
Pas na succesvolle tests kan de patch worden uitgerold naar de productieomgeving. Dit is een stap die met grote zorgvuldigheid moet worden uitgevoerd om te voorkomen dat de dagelijkse bedrijfsvoering verstoord wordt.
Stap 6: Post-uitrol monitoring
Zelfs na een zorgvuldige uitrol is het belangrijk om te bevestigen dat alles correct functioneert. Ondanks het testen in een testomgeving, kunnen nog steeds onverwachte problemen optreden in de productieomgeving. Post-uitrol monitoring is om eventuele problemen snel te detecteren en aan te pakken.
Ondanks dat Crowdstrike hun eigen patches normaliter uitvoerig test voordat ze deze naar hun klanten uitrollen, ontstond hier toch een leerzaam incident. De Rapid Response Patches die betrokken waren bij dit incident worden namelijk direct door Crowdstrike gepusht naar hun klanten. Deze klanten hebben hierdoor directe verbetering op operationeel niveau, maar geen controle over de patches. Daarnaast werden de patches ook uitgerold naar alle klanten op hetzelfde moment, waaronder kritieke sectoren zoals gezondheidszorg. Hierdoor ervaarden alle klanten tegelijkertijd de problemen van de foutieve patch. In het onderzoeksrapport heeft Crowdstrike dan ook laten weten hun klanten meer controle te bieden over het patchmanagementproces om dit incident in de toekomst te voorkomen en zullen ze patches gefaseerd uitrollen bij hun klanten.
Hieronder een parafrase uit de Incident Root Cause Analyse van Crowdstrike:
“Staged deployment mitigates impact if a new Template Instance causes failures such as system crashes, false-positive detection volume spikes or performance issues. New Template Instances that have passed canary testing are to be successively promoted to wider deployment rings or rolled back if problems are detected.”
“The Falcon platform has been updated to provide customers with increased control over the delivery of Rapid Response Content. Customers can choose where and when Rapid Response Content updates are deployed. We are continuing to enhance this capability to provide more granular control over Rapid Response Content deployments together with content update details via release notes, to which customers can subscribe.”
Dit incident toont aan dat een robuust proces voor patchmanagement noodzakelijk is. Hoewel patches essentieel zijn voor het dichten van beveiligingslekken, brengen ze ook risico’s met zich mee als ze niet adequaat worden getest en beheerd. Het toont ook aan dat zelfs gerenommeerde softwareleveranciers fouten kunnen maken en dat organisaties dus waakzaam moeten blijven door hun eigen patchmanagementprocessen zorgvuldig te volgen. CrowdStrike neemt in ieder geval hun verantwoordelijkheid en zet stappen om toekomstige incidenten te voorkomen door betere controle en gefaseerde uitrolmogelijkheden te bieden.
Weet jij niet hoe je een gestructureerd proces voor patchmanagement opzet? Is het huidige proces niet in orde? Wij denken graag mee over een verbeterplan! Ook kunnen wij ondersteunen bij andere uitdagingen op het gebied van informatiebeveiliging en Cyber Security. Neem vrijblijvend contact op en we vertellen je graag meer over de mogelijkheden.
Reduce Risk, Create Value!