3 tips för att hantera avsteg från patchprocessen

Avsteg från ordinarie patchprocess sker regelbundet i de flesta verksamheter. Nedan är mina reflektioner över hur man kan agera vid avsteg från patchning på ett så bra sätt som möjligt.

En lyckad patchhantering kräver en robust och systematisk process. Denna process; Patch Management Lifecycle, innehåller ett antal viktiga steg som till exempel förberedelse, identifiering av sårbarheter, nedladdning av patchar, riskbedömning, prioritering, test av patchar, applicering av patchar samt verifikation.

Enligt min erfarenhet så är ofta systemägare rädda för nertid och problem och begär därför undantag från ordinarie patchprocess.

Vem äger då risken? Vet systemägarna vad som står på spel? Om en sårbarhet utnyttjas för ett intrång, vem får skulden? Vad kan man göra för att kompensera för opatchade system?

Här kommer tre saker jag tycker man bör ha i åtanke vid avsteg från patchprocessen:

Riskägare. Det är otroligt viktigt att ett undantag från patchprocessen av en applikations- eller systemägare godkänns av säkerhetsansvarig (om sådan finns) samt att risken överförs till den som begär undantag om begäran godkänns. Sedan behöver patchprocessen hantera alla undantag i en separat process så att dessa inte glöms bort eller förblir opatchade allt för länge. Samtidigt är det alltid en avvägning mellan business och inflöde av pengar, driftavbrott för service, risk och konsekvenser.

Härdning av OS. För att en sårbarhet ska kunna utnyttjas så är förutsättningen också att tjänsten är aktiverad och används. Exempelvis så har kritiska patchar för Messenger och DCOM tjänster kommit från Microsoft under flera år. Om dessa tjänster till exempel varit avstängda så hade sårbarheten inte kunnat utnyttjas. Just härdning av operativsystem är ett område som ofta förbises, men som borde vara en naturlig del av driftsättningen av varje nytt system.

Proaktivt försvar. Ett proaktivt försvar kan vara att ha en robust informationssäkerhetspolicy samt regelbunden utbildning av personalen i IT-säkerhetsrelaterade frågor. Ett proaktivt försvar stödjer all patchhantering genom att minska riskerna som är relaterade till patchhantering och ger mer tid till att utvärdera, testa och applicera patchar. Det förbereder också hur organisationen ska agera vid en säkerhetsincident samt reducerar risken både för kända och okända hot för verksamheten.

Sedan kan ju givetvis uppdaterad och en kompetent IPS-lösning vara ett tekniskt komplement till en opatchad miljö.

Tack och hej!

// Hans Graah-Hagelbäck