{"id":23924,"date":"2019-04-10T16:43:17","date_gmt":"2019-04-10T14:43:17","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=23924"},"modified":"2019-11-22T13:23:37","modified_gmt":"2019-11-22T11:23:37","slug":"patching-strategy-rsa2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/patching-strategy-rsa2019\/23924\/","title":{"rendered":"RSAC 2019: Op zoek naar de perfecte patch-strategie"},"content":{"rendered":"

\u201cSorry meneer, heeft u even tijd om te praten over veiligheidsupdates?\u201d<\/p>\n

\u201cNee, ik ben te druk met het installeren van patches.\u201d<\/p>\n

Even serieus, het zou goed zijn om even stil te staan bij hoe effectief (of juist niet) je bent in het managen van patches.<\/p>\n

In een perfecte wereld zou je alle patches voor alle software die in jouw bedrijf gebruikt worden, meteen installeren zodra die uitkomen. Maar de werkelijkheid is wat ingewikkelder, en er is nooit genoeg tijd voor alle patches. Dus komt het erop neer dat je prioriteiten moet stellen. Maar hoe kun je dit het beste doen?<\/p>\n

Op de RSA Conferentie 2019, presenteerden Jay Jacobs van het Cyenta Institute en Michael Roytman van Kenna Security<\/a> een onderzoek met de titel \u2018De Etiologie van Kwetsbaarheids-exploit<\/em>.\u2019 Het is een goed-beargumenteerd verslag over kwetsbaarheden die de aandacht behoeven en over hoe de strategie\u00ebn voor veiligheidsupdates en patch-installatie drastisch verbeterd kunnen worden.<\/p>\n

De hoofdzaak is dat niet alle kwetsbaarheden daadwerkelijk worden uitgebuit. Als we ervan uit gaan dat dit waar is, dan kan een groot deel van de updates met een gerust hart verworpen worden, om vervolgens prioriteit te geven aan kwetsbaarheden die daadwerkelijk gebruikt kunnen worden voor een aanval. Maar hoe kan er een onderscheid worden gemaakt tussen \u2018gevaarlijke\u2019 en de \u2018waarschijnlijk onschuldige\u2019 kwetsbaarheden?<\/p>\n

Bewapend met beschrijvingen van de CVE-database (Common Vulnerabilities\u00a0 and Exposures) en openbare exploit<\/em>-databases, en data over kwetsbaarheidsscanners en IPS\/IDS-systemen (een totaal van 7,3 biljoen registraties van aanvallen en 2,8 biljoen kwetsbaarheden in 13 miljoen systemen), bouwden de onderzoekers een model die de taak goed uit kan voeren. Om dit in perspectief te plaatsen, dient er een kleine analyse van het kwetsbaarheidslandschap plaats te vinden.<\/p>\n\n

Over hoe een hoop CVE\u2019s in het wild voorkomen<\/h2>\n

Veiligheidsexperts zullen zeggen dat het aantal bekende kwetsbaarheden enorm hoog ligt. Maar hoeveel weten daadwerkelijk het exacte aantal? Vandaag de dag zijn er zo\u2019n 108.000 CVE\u2019s gepubliceerd.<\/p>\n

Onthoud dat in de afgelopen jaren het aantal maandelijkse publicaties gestegen is: gedurende de jaren 2005-2017 werden er maandelijks al ongeveer 300-500 CVE\u2019s gepubliceerd, en tegen het einde van 2017 was dit aantal opgelopen tot over de 1.000 en dit aantal is sindsdien niet gezakt. Om er even bij stil te staan: dat zijn tientallen nieuwe bugs per dag!<\/p>\n

\"HetEen exploit<\/em> komt meestal vlak voor of vlak na de desbetreffende CVE-publicatie voor. Er zijn uitzonderingen, maar in de meeste gevallen zitten er twee weken tussen de ontdekking en de CVE-publicatie. Dus CVE\u2019s vragen om een snelle reactie.<\/p>\n

\"InHet staat buiten kijf dat het aantal update-installaties wat achterblijft. Gemiddeld zijn er een maand na de ontdekking slechts een kwart van de kwetsbaarheden gepatcht. Het duurt 100 dagen om de helft te verwijderen, en een jaar laten is nog een kwart van het totaal niet gepatcht.<\/p>\n

\"GemiddeldMeer dan twee derde van de kwetsbaarheden die niet gepatcht zijn, zijn afkomstig van drie leveranciers. Het is niet lastig om te raden welke dat zijn en voor welke producten:<\/p>\n

\"Meer<\/p>\n

\"DeIn de tussentijd heeft 77% van de CVE\u2019s geen gepubliceerde exploits<\/em>. Ook een interessant gegeven is dat niet alle gepubliceerde kwetsbaarheden daadwerkelijk voorkomen, slechts 37.000 van de 108.000 bestaande CVE\u2019s). En slechts 5.000 CVE\u2019s komen tegelijkertijd voor \u2018in het wild\u2019 en zijn uit te buiten. Deze kwetsbaarheden zouden prioriteit moeten krijgen, ze moeten slechts op correcte wijze ge\u00efdentificeerd worden.<\/p>\n

\"Van<\/p>\n

Bestaande patch-strategie\u00ebn<\/h2>\n

De onderzoekers hebben de relevantie van patch-strategie\u00ebn op twee manieren gemeten: het percentage \u2018gevaarlijke\u2019 kwetsbaarheden van het totaal aan kwetsbaarheden die gepatcht zijn (effici\u00ebntie), en aan de andere kant het aandeel van kwetsbaarheden die gepatcht zijn in het totaal aan \u2018gevaarlijke\u2019 kwetsbaarheden (dekking).<\/p>\n

\"De

Deze afbeelding kan bekend voorkomen, omdat het eigenlijk niets nieuws betreft<\/p><\/div>\n

\u00a0<\/p>\n

Een van de algemeen geaccepteerde patch-strategie\u00ebn is gebaseerd op het Common Vulnerability Scoring System (CVSS), waarbij prioriteit wordt toegekend aan CVSS-scores zodra die specifieke waarde overstijgen. Het uitrekenen van de effici\u00ebntie en dekking voor CVSS 10 heeft als resultaat respectievelijk 23% en 7%. Interessant genoeg kan hetzelfde resultaat bereikt worden (in ieder geval wat effici\u00ebntie en dekking betreft) door willekeurig patches te installeren.<\/p>\n

De meeste gangbare aanpak, namelijk alles met een \u2018hoge\u2019 CVSS-score (7 of hoger), geeft aanzienlijk betere resultaten. Deze aanpak is niet verkeerd, maar wel tijdrovend, omdat er een groot aantal patches ge\u00efnstalleerd moet worden.<\/p>\n

\"VergelijkingEen andere strategie is prioriteit geven aan het patchen door de leverancier. Ontwikkelaars hebben tenslotte verschillende ratio\u2019s van het aantal exploits<\/em> over het totaal aantal CVE\u2019s, dus het zou logisch zijn om prioriteit te geven aan diegenen wiens producten kwetsbaarheden bevatten die in de praktijk waarschijnlijk meer uitgebuit worden.<\/p>\n

\"KwetsbaarhedenDe strategie blijkt echter, gebaseerd op effici\u00ebntie en dekking, slechter<\/em> dan het willekeurig patchen, wat twee keer zo effectief is.<\/p>\n

\"Strategie\u00ebnOp de lange termijn is deze aanpak zelfs minder relevant dan een die gebaseerd is op CVSS.<\/p>\n

Kansberekeningsmodel voor kwetsbaarheids-exploit<\/h2>\n

We blikken terug op het model dat de onderzoekers hebben opgesteld. Door data van de CVE-beschrijvingen te vergelijken (deze is openbaar in exploit<\/em>-databases), en IPS\/IDS-systemen, kon het team een reeks signalen identificeren die de kans op een kwetsbaarheids-exploit<\/em> in de praktijk be\u00efnvloedt.<\/p>\n

Aan de ene kant zijn er bijvoorbeeld signalen, zoals een CVE-referentie van Microsoft, of de aanwezigheid van een exploit<\/em> in Metasploit, die de kans op uitbuiting van de kwetsbaarheid in kwestie drastisch verhoogt.<\/p>\n

\"DeAan de andere kant zijn er ook signalen die de kans op een exploit verkleinen, zoals het bestaan van een kwetsbaarheid in de Safari-browser, een exploit die gepubliceerd was in de ExploitDB-database (die in de praktijk niet erg handig is), de aanwezigheid van de termen \u201cgeauthentiseerd\u201d of \u201ctwee keer zoveel gratis vrije opslagruimte\u201d in de CVE-beschrijvingen, en andere. Door deze factoren te combineren, zouden onderzoekers de kans op uitbuiting van iedere kwetsbaarheid zouden moeten kunnen uitrekenen.<\/p>\n

\"SommigeOm de nauwkeurigheid van het model te verifi\u00ebren, vergeleken de onderzoekers hun voorspellingen met data van echte aanvallen. Hier volgen hun bevindingen:<\/p>\n