Insecure in Security – ”To update or not to update – should not be a question”

Insecure in Security publiceras varannan vecka och återger och analyserar säkerhetsincidenter som ägt rum. Författaren av bloggen är James Tucker som är säkerhetsexpert inom området nätverkssäkerhet och arbetar på McAfee, en del av Intel Security, i Sverige.

Veckans sammandrag handlar om att ha full kontroll över ditt nätverk.

To update or not to update – should not be a question
Att uppdatera mjukvara i ett företagsnätverk kan vara en viss huvudvärk för IT-ansvariga. Jag tror att de flesta någon gång haft en dålig upplevelse då problem i nätverket uppstått efter en uppdatering. Man kan kalla det måndagsexemplar eller barnsjukdomar – vad man än kallar det så händer det ibland att en ny uppdatering krockar med något befintligt program på ett oväntat sätt. För att undvika oväntade problem så har många IT-ansvariga gjort för vana att behålla en äldre version då de anser att den är ’stabil’.

Jag är dock övertygad om att riskerna man utsätter sin verksamhet för genom att inte uppdatera mjukvara är i många fall större än ett eventuellt driftfel.

I förra veckan dök det upp ett exempel på hur ouppdaterad mjukvara kan ställa till stora problem i en organisation. FunOverIP.net publicerade ett program som heter EPOwner som kan ställa till med relativt problematiska saker för McAFee EPO. Svagheten i EPO som FunOverIP nyttjar har varit åtgärdat i snart ett år. Trots det så skriver författaren på FunOverIP att det fortfarande finns en mängd servrar som fortfarande har den här svagheten. Nu är EPOwner bara ett exempel och självfallet gäller detta för mängder med mjukvara, men det är ett bra exempel för att illustrera problemet.

Om du funderar på hur många olika versioner och leverantörer av mjukvara som finns i ditt nätverk, hur många servrar och hur många operativsystem. Kan du med handen på hjärtat berätta vilken version som just nu är installerad? Kan du garantera att samtliga har de senaste uppdateringarna och hur kan du bevisa det för mig?

Tro det eller ej, men oftast när jag frågar en kund detta så plockar de fram ett Excel-dokument som skickats runt till en mängd människor och sporadiskt uppdaterats över flera år. Ofta finns flera program med i denna lista som inte längre är en del av nätverket, ofta är det felaktiga uppgifter och ofta är ny mjukvara inte registrerad.

Problemet grundar sig i att nätverk ständigt förändras och IT-ansvariga kommer och går. Nätverk kan ses som ett levande ting som ständigt förändras. Det sägs att kroppen var sjunde år har bytt ut samtliga celler i kroppen och något liknande kan sägas om ett nätverk. Hur lång är produktcykeln för nätverket och när har varje enhet byts ut? Hur är det då med applikationer och vilken version är det/har de?

Som ni förstår så kan det vara problematiskt att få en helhetsbild av ett nätverk och alla dess delar. Konceptet om ett nätverk i ständig förändring kallas Network Deviation. Varje gång en enhet i nätverket byts ut tillkommer nya tjänster och program och precis som att du uppdaterar enheterna i nätverket så måste även er säkerhetspolicy uppdateras för att hantera förändringarna. I många fall så kan det hanteras med hjälp av en IPS.

Men jag har i mitt yrke också sett ett ökat intresse för SIEM-produkter. Jag tror att det beror på just komplexiteten och att SIEM-produkter ger administratören möjlighet att i en samlad vy få full översikt av nätverket.

Genom att se nätverket från det här perspektivet så ser man inte bara tydligt vilka resurser man har, man kan även se vilka effekter olika enheter har i nätverket. Man kan till exempel se en kraftig ökning av NTP-trafik, som i sig är vanlig trafik i ett nätverk, men en kraftig ökning kan ha problematiska anledningar. Med andra ord så kan man med denna typ av verktyg se saker utifrån olika perspektiv och inte bara se att något händer – utan även vilken påverkan det har.

Nyckeln till säkerhet är enligt mig medvetenhet. Att du som administratör ska vara medveten om vilka sårbarheter och tillgångar som finns samt vara medveten om dina användares handlingar. För hur kan man skydda något om man inte har en klar förståelse för vad det är man egentligen skyddar?

Och det är poängen med EPOwner som poängterar att all mjukvara kan ha något problem eller svaghet. Det viktigaste är att IT-avdelningen förstår detta och gör sitt bästa för att öka säkerheten –att gå från ett reaktivt beteende till ett proaktivt.