Updates en de weg naar de hel

Op dit moment is de perfecte storm van updates. Naast de schijnbaar eindeloze stroom updates van het besturingssysteem (OS), zijn er updates voor applicaties en nu updates voor uw hardware. We zijn allemaal gewend geraakt aan de maandelijkse release van patches op Microsoft Windows tot het punt waarop we elke maand Patch Tuesday verwachten. Maar nu is er meer.

Beveiligingsonderzoekers hebben problemen ontdekt met de Management Engine van Intel, die in een eigen klein besturingssysteem binnen Intel-processors leeft. Toen ontdekten onderzoekers ernstige problemen met de manier waarop processoren de uitvoering van het programma plannen, wat leidde tot kwetsbaarheden met het label Spectre en Meltdown. Meltdown beïnvloedt de beveiligingsgrenzen in caching van de processor, terwijl Spectre betrokken is bij speculatieve uitvoering en alle processors beïnvloedt, niet alleen die van Intel. (Voor een volledige beschrijving, lees de kolom Tom Brant's Hoe uw apparaten te beschermen tegen smelting, spookwantsen.)

Dus, naast de gebruikelijke updates voor Windows en Linux en de minder frequente updates voor MacOS, zien we nu updates voor de processors die hen ondersteunen. In het najaar van 2017 heeft Intel updates voor de Management Engine verstrekt aan pc-makers, die vervolgens firmwarepatches hebben uitgegeven. Daarna kwamen patches voor firmware en processor-microcode om Meltdown op Intel-processors en tot op zekere hoogte Spectre op bijna elke processor te repareren.

De Spectre- en Meltdown-patches worden ook weergegeven in OS-software, dus een belangrijke Windows Update werd uitgegeven op 3 januari, uit de normale Patch Tuesday-reeks. En natuurlijk was er nog steeds de reguliere Patch dinsdag.

Bijwerken of niet bijwerken

Plots vliegen er veel updates rond. Pas je ze net zo snel toe als ze verschijnen? Het antwoord is: waarschijnlijk niet. Intel pakt al problemen aan met sommige oudere processors die zijn herstart nadat de patches waren aangebracht. Nu zijn er meldingen dat sommige industriële besturingssystemen niet goed werken als gevolg van de patches.

Het is duidelijk dat u twee keer moet nadenken over het eenvoudigweg aanbrengen van patches wanneer deze verschijnen. Maar je moet je ook zorgen maken over de gevolgen als je dat niet doet. Hoe te beslissen?

De gevolgen van het niet uitvoeren van een update zijn bekend. Uiteindelijk zal een niet-gepatchte kwetsbaarheid uw systemen openen voor een van de vele exploits en dat zal leiden tot gegevensverlies en alle slechte dingen die volgen. Maar er zijn ook consequenties die voortvloeien uit de keuze voor patch. Naast de problemen met betrekking tot de oplossingen van Intel, zijn er momenten waarop updates voor uw besturingssystemen problemen kunnen veroorzaken. Daar moet je rekening mee houden.

Het is bijvoorbeeld mogelijk dat lokaal geschreven of sommige aangepaste apps mogelijk niet goed werken na het toepassen van een patch op Windows. Dit is tegenwoordig zeer zeldzaam, maar de mogelijkheid bestaat. Als u een dergelijke app hebt, moet u de update testen voordat u deze op al uw systemen toepast.

Problemen zijn waarschijnlijker wanneer de update groot is, zoals wanneer veel computersystemen zijn bijgewerkt van Windows 7 naar Windows 10. Ondanks het feit dat commerciële software de overgang moet afhandelen, is het nog steeds belangrijk om te testen door de wijziging aan te brengen op een paar computers voordat je helemaal gaat.

Onder normale omstandigheden, wanneer u te maken hebt met kantoorcomputers met kantoorapps, is er weinig reden om de update niet te laten gebeuren zodra de werklast van de persoon die het gebruikt het toelaat. Er is weinig risico verbonden aan de update en het risico dat gebruikers iets doen wat ze niet zouden moeten doen, is vrij hoog.

Speciale overwegingen met servers

Computers die als servers worden gebruikt, zijn een ander probleem. Daar is het risico van gebruikers iets lager, maar de risico's die kunnen voortvloeien uit een update met problemen zijn groter. Bovendien zijn er de kosten van downtime als de server essentieel is voor uw bedrijf. In een dergelijk geval moet het proces van het toepassen van de update zorgvuldig worden overwogen.

Misschien is de beste manier om servers bij te werken een voor een, te beginnen met een reserve. U werkt een reserveserver bij en test die. Als je zeker weet dat het werkt zoals het hoort, wissel dan een server uit met de bijgewerkte server. Houd je een tijdje vast aan de oude voor het geval de update niet goed werkt met de rest van het netwerk en update hem dan. Afhankelijk van het aantal servers dat u hebt, kunt u dit één voor één doen of u kunt het automatiseren met behulp van uw patchbeheersoftware.

Wat belangrijk is, is dat u niet eenvoudigweg uw updates voor altijd uitstelt. Veel van de datalekken die in 2017 en eerder zijn gelukt, waren mogelijk omdat de hackers exploits gebruikten die afhankelijk waren van niet-gepatchte kwetsbaarheden waarvoor updates en patches maanden of jaren beschikbaar waren, maar die nooit werden toegepast. De directe beschikbaarheid van exploits ontwikkeld door de inlichtingengemeenschap - en sindsdien gelekt - maakt het risico van niet-patchen nog groter.

Als u de besluitvorming verdeelt, wordt het eenvoudiger. Ten eerste, patch onmiddellijk die systemen waarbij het risico van patching laag is en het risico van niet-patching het hoogst is, inclusief uw kantoormachines en alle openbare computers. Pas vervolgens patches en updates toe op systemen waar u zich een korte periode van downtime kunt veroorloven, zoals servers die 's nachts offline kunnen gaan.

Overweeg ten slotte de patch-en-vervang benadering van de rest van uw systemen waar u meer tijd hebt om te testen en downtime tot een minimum wordt beperkt. Nogmaals, geef systemen waar je tijd voor hebt om te zorgen dat ze goed spelen op het netwerk.

Maar wat u ook doet, vergeet niet kritische patches toe te passen. Plan ze om met uw vereisten te werken, maar stel ze niet eenvoudigweg uit. U wilt niet het volgende bedrijf zijn dat de voorpagina's bereikt vanwege een aanval.