Hoe gaan wij om met ernstige kwetsbaarheden?

Hoe gaan wij om met ernstige kwetsbaarheden?

Woensdag 14-augustus verscheen een nieuwsbericht over een urgent lek in Windows. In dit blog nemen we u graag mee in hoe wij omgaan met kwetsbaarheden en hoe u uw data kunt beschermen. 

Hoe gaan wij om met ernstige kwetsbaarheden?
Vooral geen paniek veroorzaken, maar eerst technisch beoordelen wat de impact is. Wij zijn ISO/NEN gecertificeerd en wij zijn in de laatste fase van de ISAE 3402 certificering. Onze beveiliging en die van onze klanten moet dankzij die certificeringen voldoen aan hoge eisen, die ieder jaar opnieuw worden ge-audit. Meer uitleg over hoe we continu onze Cloud omgeving monitoren is te lezen in dit blog. Hierdoor is de basis beveiliging van onze Cloud omgeving en van de IT omgevingen van onze Managed Service klanten van een hoog niveau. Daarnaast houden we dankzij onze ISO/NEN certificering ook pro-actief de websites zoals die van het cybersecurity centrum in de gaten. Bij meldingen kijken we direct wat de impact is voor onze klanten en indien nodig zetten we direct acties uit. De kans is groot dat we al acties hebben uitgezet.

Wat bedoelen we met een basis beveiliging van een hoog niveau?
Bijvoorbeeld dat ICT omgevingen ontworpen worden vanuit het ‘layered security principe’. Beveiliging op verschillende lagen. Beveiliging rondom de mens (denk aan awareness), rondom fysieke toegang, rondom endpoints (zoals smartphones en werkstations), rondom het netwerk (zoals vpns en firewalls) en rondom applicaties en data.

Layered-Security-01

 

Welke acties volgen op aangeduide kwetsbaarheden?
Nadat impact per omgeving is bepaald, bepalen we welke acties benodigd zijn, de impact van die acties en daarna de timing om de acties uit te voeren. In de meeste gevallen is het een kwetsbaarheid in een stukje software en volgt er een software-update die moet worden uitgevoerd. Soms is er geen update beschikbaar en moet de functionaliteit worden uitgeschakeld, zoals Multithreading bij de Intel CPUs. Bij dat laatste is de impact van de actie altijd groot, dit heeft vaak ook gevolgen voor het ontwerp van toekomstige ICT omgevingen. Maar ook het uitvoeren van software-update is niet zonder gevolgen.

De gevolgen van software-update
‘Even de applicatie updaten, rebooten en ik ben weer veilig.’ Helaas werkt dit niet altijd feilloos, na de update kunnen er andere problemen optreden, applicaties die niet werken, een crash, vertragingen etc. Dus net zoals Microsoft hun update-cycli gefaseerd uitvoert, doen wij dat bij onze ICT-omgevingen ook. Bij Microsoft noemen ze dat een update-ring. Voor onze omgevingen werkt dat hetzelfde. Onze eigen servers staan in de snelste ring, de servers van onze Cloud omgeving in de volgende ringen en per klant bestaat er ook een ring met servers lage impact en als laatste de bedrijf kritische servers.

Voorbeeld uit de praktijk: hoe zijn wij met het lek van 13 augustus om gegaan?
Twee maanden terug was er een vergelijkbaar lek. Met nog net iets meer impact, maar met bijna geen aandacht in de landelijkse nieuwsbladen. Net als in het lek van 13 augustus ook op de terminal servers (RDP) service met vrijwel dezelfde score van het cybersecurty center. De impact was wel iets groter van dat lek omdat Microsoft daar een losse patch voor uitgegeven had. Wij staan het gebruik van het RDP protocol via internet bij klanten niet toe en controleren hier ook op. Het risico van deze zeer ernstige vulnerability wordt daardoor beperkt tot alleen de personen die toegang hebben op het netwerk waarop je RDP interface luistert. En tegelijkertijd moeten deze personen ook nog in bezit zijn van de ‘exploit-code’, deze is nu nog niet beschikbaar. Impact op onze Cloud omgeving is laag, impact bij onze Managed Services waar dezelfde vergelijkbare security eisen zijn ook. Impact op klanten die bewust afwijken van deze security-eis is hoog. Deze klanten, die hiervoor een zogenaamd risk-acceptance-formulier hebben getekend, moeten direct geholpen worden.

Oplossing
Door het uitvoeren van de maandelijkse Microsoft update, welke elke 2e dinsdag van de maand uit komt,  is dit lek ook voor vertrouwde mensen in de netwerken niet meer te misbruiken.

Uitgevoerde acties
Bij klanten met een hoog risico is de update direct geïnstalleerd.  Op onze Cloud omgeving en Managed Services omgevingen is de patch gescheduled in de normale update cyclus, waardoor alle devices, afhankelijk van ‘de update-ring’ waarin ze behoren, worden geupdate.

Zijn er klanten die risico lopen?
Niet al onze klanten maken met al hun servers en firewalls gebruik van onze Cloudplatformen of onze Managed Services. Dit zijn de klanten die bijvoorbeeld een eigen IT-afdeling hebben, of juist klanten die ons alleen inhuren voor projecten of om storingen op te lossen. Uiteraard kunnen die ons inhuren zodra dit soort lekken uitkomen. Direct om het op te lossen, achteraf als extra controle. Of om het netwerk te controleren met een security check, waarin we aanbevelingen doen om de basis-beveiliging naar een hoger niveau te brengen. Heeft u vragen over uw security? Wij adviseren u graag!

Vind je dit bericht interessant?