Digitale weerbaarheid

De complexiteit van cybersecurity updateprocessen

6 minuten leestijd

Als het updateproces van software mislukt, kan dit ernstige gevolgen hebben, zoals we zagen met de wijdverspreide ‘Blue Screens of Death’ veroorzaakt door een foutieve update van CrowdStrike.

Cybersecurity draait vaak om snelheid; een kwaadwillende creëert een nieuwe aanvalstechniek of code, cybersecuritybedrijven reageren zo snel mogelijk op de nieuwe dreiging en passen indien nodig hun methoden aan om de dreiging te detecteren. Deze aanpassingen kunnen vereisen dat cloud-detectiesystemen en/of endpoints worden geüpdatet om de benodigde bescherming te bieden tegen de dreiging. Snelheid is van essentieel belang omdat de cybersecurity-industrie er is om consumenten en organisaties tegen dreigingen te beschermen, door dreigingen te detecteren en erop te reageren zodra ze zich voordoen.

Het belang van grondige tests

De processen die cybersecuritybedrijven implementeren om conflicten tussen een update en het besturingssysteem of andere producten te voorkomen, zijn doorgaans grootschalig. Dit omvat geautomatiseerde testomgevingen die realistische scenario's simuleren van verschillende besturingssystemen, verschillende varianten van systeemdrivers en dergelijke. In sommige gevallen worden deze tests overzien door mensen, een laatste controle om ervoor te zorgen dat alle processen en procedures zijn gevolgd en er geen conflicten zijn.

Er kunnen ook derden betrokken zijn, zoals een leverancier van besturingssystemen, die onafhankelijk van de cybersecurityleverancier testen, in een poging om grote storingen te voorkomen. In een ideale wereld zou een cybersecurityteam de update in hun eigen omgeving testen om ervoor te zorgen dat er geen incompatibiliteiten zijn. Zodra ze zeker zijn dat de update geen problemen veroorzaakt, zou een geplande uitrol van de update beginnen, misschien zelfs per afdeling. Dit vermindert het risico op grote problemen voor de bedrijfsvoering.

De realiteit van cybersecurity updates

Dit is echter niet en kan ook niet het proces zijn voor updates van cybersecurityproducten; deze moeten worden ingezet met dezelfde snelheid waarmee een dreiging wordt verspreid, meestal bijna onmiddellijk. Als het updateproces faalt, kan dit rampzalig zijn, zoals er is gebeurd met een software-update van CrowdStrike, met Blue Screens of Death en complete infrastructuren die uitvallen tot gevolg. Dit betekent niet dat de leverancier incompetent is; het is waarschijnlijk een geval van domme pech, een perfecte storm van updates of configuraties die het incident veroorzaken. Dit is natuurlijk tenzij de update is gemanipuleerd door een kwaadwillende, wat in dit geval niet lijkt te zijn gebeurd. 

De recente IT-storingen, veroorzaakt door de foutieve CrowdStrike-update, hebben het belang van software-updates onder de aandacht gebracht. In de wereld van computers is er weinig zo verontrustend als een Blue Screen of Death (BSOD) op je Windows-systeem. Deze schermen met cryptische foutmeldingen veroorzaken vaak alarm en frustratie, zelfs bij doorgewinterde technologiegebruikers.

Wanneer een BSOD op grote schaal voorkomt, zoals bij een wijdverbreid incident dat talloze apparaten wereldwijd onbruikbaar maakt en zelfs enkele van de meest kritieke diensten verstoort, wordt het belang van software-updates nog duidelijker. Een BSOD is een fatale systeemfout die Windows dwingt af te sluiten om verdere schade te voorkomen. Dit kan worden veroorzaakt door van alles, van defecte hardwarecomponenten tot verouderde drivers die conflicten binnen het besturingssysteem veroorzaken.

Risico's en voordelen

Zoals eerder aangegeven zijn software-updates essentieel om verschillende redenen. Ze helpen je (en je organisatie) veiliger te blijven. Geen enkele software is perfect en bevat vaak fouten, waaronder kwetsbaarheden die door hackers kunnen worden misbruikt. Ongepatchte kwetsbaarheden zijn de bron van een groot deel van datalekken. Daarom zijn patches, geleverd door softwarefabrikanten, zo belangrijk. Vorig jaar werden meer dan 29.000 kwetsbaarheden gerapporteerd, het jaar daarvoor waren dit er nog ongeveer 25.000.

Welke leerpunten kunnen we uit dit incident halen? Ten eerste zullen alle cybersecurityleveranciers waarschijnlijk hun updateprocessen moeten herzien om ervoor te zorgen dat er geen zwakke plekken zijn en om te zien hoe ze deze eventueel kunnen versterken. Een belangrijke les is dat wanneer een bedrijf een dominante marktpositie bereikt, dit kan leiden tot een situatie waarin één probleem veel systemen beïnvloedt.

Elke cybersecurityprofessional zal termen gebruiken als 'defense in depth' of 'layers of defense'. Dit verwijst naar het gebruik van meerdere technologieën en in de meeste gevallen meerdere leveranciers om mogelijke aanvallen te voorkomen. Het gaat hierbij ook om veerkracht in de architectuur en niet afhankelijk zijn van een enkele leverancier. Door afhankelijk te zijn van één leverancier, verhoog je het risico op wijdverspreide storingen en kwetsbaarheden wanneer die ene leverancier een probleem ervaart.

We mogen echter niet uit het oog verliezen waar de schuld ligt, wanneer een dergelijk incident zich voordoet. Als cybercriminelen en staatsaanvallers geen cyberdreigingen zouden creëren, dan was er ook geen real-time bescherming nodig.

Slotgedachten

Software houdt tegenwoordig de wereld draaiende, ondanks de recente gebeurtenissen blijft het up-to-date houden van je softwarestack is een van de meest effectieve strategieën om je digitale leven te beschermen. Zorg ervoor dat je updates downloadt van officiële bronnen en niet via e-maillinks of advertenties. De volgende keer dat je in de verleiding komt om software-updates te negeren of uit te stellen, onthoud waarom ze zo essentieel zijn.

Blijf lezen