Column


Column Ramses Sloeserwij

Evolutie van het patchen

Veel organisaties zijn kwetsbaar voor cybercriminaliteit omdat ze het noodzakelijke verandertempo niet bij kunnen houden. Darwin zei al: “Het is niet de sterkste in zijn soort die overleeft, noch de meest intelligente, maar degene die het meest openstaat voor verandering.” Waar voorheen het verandertempo nog werd bepaald door het bedrijfsleven, wordt hij nu volledig gedicteerd door de consumentenmarkt. En dit tempo zal alleen maar toenemen.

World of Vulnerabilities
Software is mensenwerk en daardoor niet zonder fouten. Zo wordt gesteld dat er 0,69 fouten per 1000 regels coding worden gemaakt. Deze fouten worden door de tijd heen ontdekt door de kwaliteitsafdeling van de leverancier, maar in de meeste gevallen ook door derden. Want er valt flink geld mee te verdienen. Er worden zelfs wedstrijden georganiseerd waarbij er een bonus staat op elke nieuwe kwetsbaarheid (zero-day vulnerabilities).

 

In 2015 vond in Vancouver een dergelijke wedstrijd plaats, Pwn2Own. Het resultaat was dat een zevental deelnemers in twee dagen tijd 21 kwetsbaarheden (vulnerabilities) ontdekten en weggingen met $557.500 USD aan prijzengeld. Zonder paranoïde over te komen, maar als dit het resultaat is van zeven deelnemers in twee dagen tijd, wat zal dan het resultaat zijn van georganiseerde cybergangs, de NSA of het cyberleger (Unit 110) van Noord-Korea?

Nieuw, nog onbekende kwetsbaarheden worden ook verhandeld in de onderwereld via de Dark Web. Het bedrag is evenredig aan de toepasbaarheid van de kwetsbaarheid. Cybercriminelen zullen vervolgens deze nieuwe kwetsbaarheid benutten om hun onethische doel te bereiken.

Mean time to Exploit
Microsoft heeft onderzoek gedaan naar de levensloop van kwetsbaarheid CVE-2014-6332. Acht dagen na publicatie van de kwetsbaarheid was de uitnutting (exploit) opgenomen in een exploitkit en binnen een maand was er al sprake van een massale aanval. Microsoft concludeerde dat de 'Mean Time to Exploit' steeds korter wordt, anders gezegd de tijd tussen het publiceren van een kwetsbaarheid (vulnerability) en de uitnutting (exploit) ervan wordt steeds korter. Dit heeft Microsoft doen besluiten om af te stappen van haar maandelijkse patchcyclus (patch tuesday) en over te gaan naar dagelijks (daily) patching. De reden dat de 'Mean Time to Exploit' steeds korter wordt is puur commercieel, want ook voor exploitkits bestaat gewoon een markt. En wie als eerste een nieuwe exploit in zijn kit opneemt heeft een voordeel op zijn concurrenten.

Patching
Patchen is nog altijd een van de meest effectieve verweren/maatregelen tegen cybercriminaliteit. Helaas gaan veel organisaties hier nog te nonchalant mee om. Dit blijkt wel als we een aantal spraakmakende cyberaanvallen bekijken. De grootste bankroof aller tijden als voorbeeld genomen, zien we dat cybercriminelen misbruik hebben gemaakt van verouderde kwetsbaarheden waarvoor de patch al lang gepubliceerd was. Immers het gros van de cybercriminelen heeft niet de verwachte begaafdheid maar weet heel goed de voorhanden zijnde tooling (exploitkits en dergelijke) te gebruiken.

Op basis van bovenstaande ontwikkelingen zullen organisaties hun patchproces drastisch moeten aanpassen. Deze zal volledig in lijn moeten lopen met het risico. Anders gezegd: hoe groter het risico, hoe sneller de patch aangebracht moet worden. En dan praten we niet over weken, maar over dagen. . Dit klinkt evident maar wordt helaas nog altijd onvoldoende gevolgd.

 

 

 


Lees meer over